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4 2023 年 上 半年 全 球 范围 内 ， 政 府 部 门 仍 是 APT 攻击 的 首要 目标 ， 相 关 攻 击 事件 占 比 为 30%， 其 次 
是 国防 军事 领域 ， 相 关 事 件 占 比 16%。 与 去 年 同期 相 比 ， 教 育 、 科 研 领域 相关 的 攻击 事件 比例 增高 ， 占 
比分 别 为 11% 和 9%。 


人 2023 年 上 半年 涉及 我 国政 府 、 能 源 、 科 研 教育 、 金 融 商 贸 的 高 级 威胁 事件 占 主要 部 分 ， 其 次 为 科技 、 
国防 、 卫 生 医 疗 等 领域 。 


4 2023 年 上 半年 ， 全 球 高 级 威胁 活动 呈现 出 以 下 特点 : 针对 移动 平台 iOS/Android 的 0day 攻击 逐渐 
增多 ， 相 关 攻 击 团伙 的 技术 实力 积累 雄厚 或 者 背 靠 国家 机 器 ; 路由器、 防火墙 等 网 络 边 界 设备 成 为 APT 
组 织 攻 击 的 主要 目标 之 一 ， 如 海 莲 化、APT28 通常 会 攻击 一 些 存在 漏洞 的 网 络 边 界 设备 。 被 攻陷 的 网 络 
设备 一 方面 可 以 作为 C2 的 转发 器 ， 用 于 隐藏 攻击 者 的 真实 IP， 另 一 方面 也 可 以 作为 攻击 入 口 进 行 更 深 
入 的 横向 移动 。 


h 上 半年 内 , 我 们 观察 到 境外 黑客 组 织 在 针对 中 国 的 APT 攻击 活动 中 大 量 使 用 了 Oday 以 及 Nday 漏洞 。 
6 月 初 , 国外 安全 厂商 卡巴 斯 基 披 露 了 一 个 针对 全 球 范围 内 利用 iOS RAH iMessage 信息 服务 的 0-Click 
Oday 漏洞 攻击 。 我 们 从 该 攻击 的 目标 范围 、 复 杂 度 、 攻 击 技术 和 跨越 时 间 来 看 ， 这 是 近 十 年 内 最 顶尖 
的 国家 级 APT 攻击 活动 。 通 过 我 们 的 关联 分 析 和 确认 ， 推 测 该 攻击 活动 至 少 开始 于 2019 年 ， 且 涉及 国 
内 大 量 受害 者 。 


人 2023 年 上 半年 ， 在 野 0day 漏洞 的 利用 情况 同比 2022 年 有 所 上 升 ， 漏 洞 数量 接近 30 个 左右 。 在 漏 


洞 涉及 产品 的 供应 厂商 中 ， 微 软 、 谷 歌 、 苹 果 的 地 位 依然 稳固 ， 但 是 相 较 往年 微软 、 谷 歌 势 强 而 苹果 势 
微 的 情况 ， 今 年 三 家 厂商 在 曝 出 的 在 野 0day 漏洞 数量 上 呈现 出 真正 意义 上 的 三 足 易 立 。 
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摘要 


; 2023 上 半年 ， 奇 安信 威胁 情报 中 心 使 用 奇 安 信 威 胁 雷达 对 境内 的 APT 攻击 活动 进行 了 全 方位 遥感 
we, 监测 到 国内 大 量 IP 地 址 与 数 十 个 境外 APT 组 织 产 生 过 高 危 通信 行为 ， 疑 似 被 攻击 。 广 东 省 受 境 
外 APT 团伙 攻击 情况 最 为 突出 ， 其 次 是 北京 、 上 海 、 浙 江 等 经 济 发 达 地 区 。 此 外 ， 监 测 发 现 中 国 香港 地 
区 也 存在 一 定数 量 的 受害 目标 。 


2、 基于 奇 安信 威胁 雷达 的 测绘 分 析 ， 海 莲花 、 毒 云 胶 、Winnti、 曹 灵 花 、APT-Q-27、 响 尾 蛇 、Lazarus 
等 组 织 在 2023 上 半年 对 我 国 攻 击 频 率 最 高 。 我 国境 内 疑似 受 其 控制 的 IP 地 址 比例 分 别 为 : === BE 
27%， 海 莲花 15%，Winnti 14%, # 46 8%, APT-Q-27 7%， 响 尾 蛇 696, Lazarus 6%。 


2、 本 次 报告 通过 综合 分 析 奇 安信 威胁 雷达 测绘 数据 、 奇 安信 红 雨 滴 团 队 对 客户 现场 的 APT 攻击 线索 排 
查 情况 以 及 奇 安信 威胁 情报 支持 的 全 线 产 品 告警 数据 , 得 出 以 下 结论 : 2023 上 半年 , 我 国政 府 部 门 、 能 源 
科研 教育 行业 遭受 高 级 威胁 攻击 情况 突出 ， 受 影响 行业 中 排名 前 五 的 分 别 是 : 政府 33%， 能 源 1596, 
科研 教育 12% ， 金 融 商 贸 11%， 科 技 7%。 


4 2023 上 半年 奇 安 信 威 胁 情报 中 心 收 录 了 177 篇 高 级 威胁 类 公开 报告 ， 涉 及 64 个 已 命名 的 攻击 组 织 
或 攻击 行动 。 其 中 , 提 及 率 最 高 的 五 个 APT 组 织 分 别 是 : Kimsuky 8.896, Lazarus 8.096, Group123 7.496, 
SideCopy 5.696, Gamaredon 4.396, 


4 2023 上 半年 全 球 APT 活动 的 首要 目标 仍 是 政府 部 门 和 国防 军事 行业 ， 相 关 攻 击 事件 占 比分 别 为 
30% 和 16%， 紧 随 其 后 的 热点 攻击 行业 是 教育 、 科 研 、 金 融 、 医 疗 、 通 信 等 领域 。 


4» 2023 上 半年 的 在 野 漏洞 利用 中 ， 以 浏览 器 为 攻击 向 量 依然 是 主流 趋势 ，Chrome、Safari 浏览 器 与 
WFA Windows, macOS, iOS 下 的 提 权 逃逸 漏洞 占 所 有 漏洞 近 8 成 。0day 漏洞 利用 逐渐 成 为 勒索 
团伙 武器 库 的 备 选项 。 奇 安信 威胁 情报 中 心 在 多 起 利用 重要 漏洞 的 攻击 行动 披露 后 第 一 时 间 跟 进 调查 
发 现 有 些 攻击 发 起 时 间 比 预 估 更 早 (比如 Outlook 会 议 预约 漏洞 ; ， 或 者 影响 范围 更 大 (比如 ios " 
iMessage 漏洞 涉及 大 量 国内 受害 者 ) o 


关键 字 : 全 球 高 级 持续 性 威胁 、APT、 威 胁 雷达 、0day、iOS、 浏 览 


i+})K oJoF gf" 15k 2023 年 中 报告 


Bi/isS3)KojoFofi" 15e CĂ «J,0« 


Hm 


第 一 章 中 国境 内 高 级 持续 性 威胁 综述 


第 四 


tH 


、 奇 安信 威胁 雷达 境内 遥测 分 析 
二 、2023 上 半年 紧 盯 我 国 的 活跃 组 织 
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第 一 章 中 国境 内 高 级 持续 性 威胁 综述 


基于 中 国境 内 海量 DNS 域名 解析 和 奇 安信 威胁 情报 中 心 失 陷 检测 (IOC) 库 的 碰撞 分 析 ( 奇 安信 威胁 雷 


A) ， 是 了 解 我 国境 内 APT 攻击 活动 及 高 级 持续 性 威胁 发 展 趋势 的 重要 手段 。 

奇 安信 威胁 情报 中 心 通过 使 用 奇 安信 威胁 雷达 对 境内 的 APT 攻击 活动 进行 了 全 方位 遥感 测绘 ，2023 年 
上 半年 监测 到 我 国 范围 内 大 量 IP 地 址 疑似 和 数 十 个 境外 APT 组 织 产生 过 高 危 通 信 。 从 地 域 分 布 来 看 ， 
广东 省 受 境外 APT 团伙 攻击 情况 最 为 突出 ， 其 次 是 北京 、 上 海 、 浙 江 等 经 济 发 达 地 区 。 值 得 注意 的 是 ， 
中 国 香港 也 受到 较 多 攻击 。 

本 章 内 容 及 结论 主要 基于 奇 安信 威胁 雷达 数据 、 奇 安信 红 雨 滴 团队 在 客户 现场 处 置 排查 的 真实 APT 攻击 
事件 ， 结 合 使 用 了 奇 安信 威胁 情报 的 全 线 产品 告警 数据 ， 进 行 的 整理 与 分 析 。 


一 、 奇 安信 威胁 雷达 境内 遥测 分 析 


奇 安 信 威 胁 雷达 是 奇 安信 威胁 情报 中 心 基于 奇 安 信 大 网 数据 和 威胁 情报 中 心 失 陷 检 测 (IOC) 库 ， 用 于 
监控 全 境 范围 内 疑似 被 APT 组 织 、 各 类 伪 木 蠕 控制 的 网 络 资产 的 一 款 威胁 情报 SaaS 应 用 。 通 过 整合 奇 
安信 的 高 、 中 位 威胁 情报 能 力 ， 发 现 指定 区 域内 疑似 被 不 同 攻击 组 织 或 恶意 软件 控制 的 主机 IP， 了 解 不 


同 威胁 类 型 的 比例 及 被 控 主 机 数量 趋势 等 。 可 进一步 协助 排查 重点 资产 相关 的 APT 攻击 线索 。 
Ioaz 
数据 更 新 时 间 : 2023-06-20 08:12:38 — 日 期 范围 : 30x 请 选择 省 全 国 请 选择 市 : zm 


s5 downlistwtop 1222299 


pro.csoco. 


conanqu. 


图 1.1 奇 安信 威胁 雷达 境内 受害 者 数据 分 析 


《后 > 奇 安信 威胁 情报 中 心 
基于 奇 安信 威胁 雷达 境内 的 遥测 分 析 ， 我 们 从 以 下 方面 对 我 国境 内 疑似 遭受 的 APT 攻击 进行 了 分 析 和 统 
计 。 


受 控 IP 数量 和 趋势 


奇 安信 威胁 情报 中 心 基 于 威胁 雷达 在 2023 上 半年 监测 到 数 十 个 境外 APT 组 织 针对 我 国 范围 内 大 量 目标 
IP 进行 通信 ， 形 成 了 大 量 的 境内 IP 与 特定 APT 组 织 的 网 络 基础 设施 的 高 危 通信 事件 。 其 中 还 存在 个 别 
APT 组 织 通过 多 个 C2 服务 器 与 同一 IP 通信 的 情况 。 

下 图 为 2023 上 半年 奇 安信 威胁 雷达 遥测 感知 的 我 国境 内 每 月 连接 境外 APT 组 织 C2 服务 器 的 疑似 受害 
IP 地 址 数量 统计 。 可 以 看 出 ，1-4 月 APT 团伙 攻击 频次 相对 均匀 ， 波 动 不 大 ，6 月 份 为 上 半年 境外 APT 
攻击 高 峰 。 


2023 上 半年 中 国境 内 疑似 受 控 IP 数 量 月 度 分 布 HO) Ei 


1H 2H 3H 4H 5H 6H 


A. 图 1.22023 上 半年 中 国境 内 疑似 受 控 IP 数量 月 度 分 布 


2023 上 半年 中 国境 内 每 月 新 增 疑似 被 境外 APT 组 织 控制 的 IP 数量 变化 趋势 如 图 1.3 所 示 ， 反 映 了 APT 
组 织 攻 击 活跃 度 变 化 走向 。 新 增 受 控 IP 数量 变化 趋势 也 与 图 1.2 中 每 月 连接 境外 APT 组 织 C2 服务 器 的 
疑似 受害 IP 数量 分 布 相符 ， 前 4 个 月 疑似 受 控 IP 数量 变化 趋势 平缓 ，5 月 攻击 有 所 减少 ，6 月 激增 。 
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2023 上 半年 中 国境 内 每 月 新 增 疑似 受 控 IP 数 量变 化 趋势 (( DES 


1 月 2 月 3 月 4 月 5 月 6 月 


A 图 1.3 2023 上 半年 中 国境 内 每 月 新 增 疑 似 受 控 IP 数量 变化 趋势 


受害 目标 区 域 分 布 


下 图 为 2023 上 半年 中 国境 内 疑似 连接 过 境外 APT 组 织 C2 服务 器 的 IP 地 址 地 域 分 布 ， 分 别 展 示 了 各 省 
疑似 受害 IP 地 址 的 数量 : 广东 省 受 境 外 APT 团伙 攻击 情况 最 为 突出 ， 其 次 是 北京 、 上 海 、 浙 江 等 经 济 
发 达 地 区 。 此 外 ， 监 测 发 现 中 国 香港 地 区 也 存在 一 定数 量 的 受害 目标 。 


2023 上 半年 中 国境 内 疑似 受 控 IP 地 域 分 布 Top10 《所 > 奇 安信 


m 
广东 北京 ES 


; 浙江 “中国 香港 ”江苏 四 川 山东 湖北 


A 图 1.42023 上 半年 中 国境 内 疑似 受 控 IP 地 域 分 布 
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APT 组 织 资产 分 布 


下 图 分 别 为 2023 上 半年 境外 APT 组 织 疑似 控制 我 国境 内 目标 IP 数量 占 比 以 及 境外 APT 组 织 疑似 使 用 
过 的 C2 服务 器 数量 分 布 。 


2023 上 半年 APT 组 织 控制 境内 IP 数 量 占 比 及 C2 服务 器 数量 分 布 《 [se > 奇 安信 


APT 组 织 控 制 境内 IP 数 量 占 比 C2 服务 器 所 属 团伙 数量 分 布 
Kimsuky 3% n Kimsuky 4* Bid 
Lazarus 6% 海 莲 花 6% 


BlackTech 7%. i». 
Lazarus 9% x 


响尾蛇 10% 


响尾蛇 6% [TN 
. / 


APT-0-27 75 


SRT 8% 


£d 10% 


A. 图 1.5 2023 上 半年 APT 组 织 控制 境内 IP 数量 占 比 及 C2 服务 器 所 属 团伙 数量 分 布 


可 以 看 出 , 海 莲花 、 毒 云 膝 两 个 组 织 依旧 是 针对 国内 攻击 的 主要 组 织 , Winnti, 蔓 灵 人 花 、APT-Q-27、 响尾蛇 、 
Lazarus 等 APT 组 织 也 疑似 控制 了 境内 大 量 1P 地 址 。 这 些 组 织 潜 伏 在 我 国 周 边 国 家 和 地 区 伺机 发 起 攻击 ， 
其 中 毒 云 荐 和 海 莲 伦 长 期 针对 中 国 。 在 上 半年 的 攻击 中 ， 毒 云 荐 大 多 以 钓鱼 为 主 ， 目 标 通常 为 高 校 、 科 
研 领域 ， 海 莲花 则 主要 针对 我 国 关 键 基础 设施 。 


进一步 对 这 些 APT 组 织 的 C2 服务 器 及 其 控制 的 境内 IP 地 址 数据 分 析 后 ， 我 们 发 现 : 


1. Winnti 组 织 攻 击 主要 集中 在 1-4 月 ， 最 高 峰 为 1 月 ， 该 组 织 使 用 相对 少 的 C2 服务 器 与 境内 大 量 IP 地 
址 进行 了 非法 通信 。 


2. 毒 云 蕨 、 蔓 灵 化 、 响 尾 蛇 、Lazarus、 肚 脑 虫 等 组 织 C2 服务 器 比较 分 散 ， 常 在 攻击 中 频繁 更 换 C2。 
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3. APT-Q-27, EWA, Kimsuky 这 几 个 组 织 均 通过 少量 的 C2 进行 批量 攻击 。 


另外 , 我 们 还 发 现 APT-Q-77 多 次 针对 国内 的 攻击 ,目标 涵盖 政府 、 科 技 、 媒 体 、 医 疗 、 能 源 等 多 个 行业 。 


二 、2023 上 半年 紧 盯 我 国 的 活跃 组 织 


上 半年 内 ， 我 们 观察 到 针对 中 国 的 APT 攻击 仍 不 乏 0day/Nday 漏洞 的 使 用 。6 月 初 ， 国 外 安全 厂商 卡 
巴 斯 基 披露 了 一 个 针对 全 球 范围 内 利用 iOS 系统 中 iMessage 信息 服务 的 0-Click 0day 漏洞 攻击 。 我 们 
从 该 攻击 的 复杂 度 、 攻 击 技术 和 跨越 时 间 来 看 ， 这 是 近 十 年 内 最 顶尖 的 国家 级 APT 攻击 活动 。 通 过 我 们 
的 关联 分 析 和 确认 ， 推 测 该 攻击 活动 至 少 开始 于 2019 年 ， 且 涉及 国内 大 量 受 害 者 。 部 分 长 期 针对 我 国 
的 APT 组 织 具有 复杂 的 攻击 技 战术 ， 而 另 一 些 攻击 组 织 则 不 断 采 用 新 武器 或 更 新 攻击 手法 。 


奇 安信 威胁 情报 中 心 通过 奇 安信 红 雨 滴 团队 和 奇 安信 安 服 在 客户 现场 处 置 排查 的 真实 APT 攻击 事件 ， 结 
合 使 用 了 威胁 情报 的 全 线 产品 告警 数据 ， 最 终 基于 被 攻击 单位 、 受 控 设备 、APT 组 织 技 战 术 等 多 个 指标 
筛选 出 以 下 数 个 对 我 国 攻击 频率 高 或 危害 大 的 APT 组 织 。 


接 下 来 ， 我 们 将 结合 奇 安 信 红 雨滴 团队 的 真实 APT 攻击 处 置 案例 ， 逐 一 盘点 2023 上 半年 紧 盯 我 国 的 全 
球 APT 组 织 。 


APT-Q-31 ( 海 莲花 ) 


关键 词 : 供应 链 、 重 点 单位 在 境外 的 资产 

海 莲花 在 2023 上 半年 没有 以 往 活跃 ， 不 过 仍然 对 IT 和 软件 公司 展开 攻击 ， 并 成 功 入 侵 了 某 公 司 的 代码 
服务 器 ， 企 图 发 起 供应 链 攻击 。 此 外 ， 海 莲花 在 针对 我 国 重点 单位 在 香港 资产 的 攻击 活动 中 舍 奔 了 以 往 
使 用 的 自 签名 证 书 的 基础 设施 ， 改 用 80 端口 作为 CobaltStrike 的 C2 服务 器 端口 。 在 攻击 过 程 中 通过 
入 侵 域 控 服 务 器 ， 开 启 内 网 漫游 ， 并 在 横向 移动 中 使 用 了 新 的 隧道 工具 Ligolo-ng。 
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iZ README.md 


Ligolo-ng : Tunneling like a VPN 


Ligolo- 


An advanced, yet simple, tunneling tool that uses a TUN interface. 


Table of Contents 


e Introduction 
e Features 
e How is this different from Ligolo/Chisel/Meterpreter... ? 
e Building & Usage 
o Precompiled binaries 
o Building Ligolo-ng 
o Setup Ligolo-ng 
m Linux 
a Windows 


m Running Ligolo-ng proxy server 


网 


A. 图 1.6Ligolo-ng 隧道 工具 截 


奇 安 信 威 胁 情报 中 心 将 持续 对 海 莲花 的 活动 进行 监控 。 


APT-Q-12 


关键 词 : 0day 漏洞 、 邮 件 

在 2023 年 初 ，APT-Q-12 针对 国内 某 邮 箱 PC 端 用 户 投 递 带 有 0day 漏洞 的 鱼 叉 邮件 ， 当 受害 者 使 用 
PC 客户 端 邮箱 打开 邮件 后 会 触发 相关 漏洞 的 Exploit 代码 用 于 执行 位 于 标题 中 的 JavaScript 代码 ， 
JavaScript 代码 寻找 邮件 中 指定 的 Html 资源 ， 最 终 通 过 内 部 接口 的 方式 执行 解密 后 的 LNK 文件 ，LNK 
后 续 的 攻击 链 与 我 们 之 前 披露 过 的 APT-Q-12 攻击 链 一 致 。 
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GN5cHRYQ1hNRUFHY1dPRHVJREIuRGFIRGVKdmloTU9HZ1BUeEVIWA== 


TGNScHRYQ1hNRUFHY1dPRHVJREIuRGFIRGVKdmloTU9HZIBUeEVIWA- ="); RLdSGW=atob; jDZAnq-eval; jBZAnq(RLdSGW('ZXZhbChhdG9iKGRvY3VtZW5OLmdldEVsZV 
4WGgubmFtZSkp"); //Vm1UaEFNT2)WSUZWdW1KSEpTQmpUTWNIcnZkcXZX 


pdfFiller Start free tria 


全 图 1.7 带 有 0day 漏洞 利用 代码 的 邮件 


== 


在 我 们 后 续 济源 的 过 程 中 发 现 APT-Q-12 ENTERA EE RR EBS SS =, 


APT-Q-77 


关键 词 : EAX RAS, FIL 

APT-Q-77 在 2023 年 初 的 攻击 活动 达到 顶峰 ， 国 内 大 部 分 受害 者 仍然 是 攻击 者 利用 边界 设备 Nday 漏洞 
批量 入 侵 所 致 。 相 关 定向 攻击 仍然 集中 在 天 然 气 和 军工 领域 。 在 特定 的 时 间 点 后 ，APT-Q-77 只 剩 下 投 
递 鱼 叉 邮件 这 一 种 攻击 方式 。 经 过 我 们 的 溯源 发 现 该 团伙 最 早 活跃 时 间 在 2022 年 7 月份 ， 分 别 投递 过 
P CHM. ISO (IMG) 、LNK 等 载荷 的 附件 ， 在 其 针对 军工 领域 的 活动 中 使 用 了 3proxy 代理 工具 。 


APT-Q-77 的 鱼 叉 攻击 活动 拥有 非常 复杂 的 技 战术 流程 : 在 第 一 阶段 会 使 用 一 个 简单 的 加 载 器 去 执行 
CobaltStrike 木马 ， 当 受害 者 与 CobaltStrike 建立 稳定 的 连接 后 释放 第 二 阶段 的 Loader 并 将 Payload 
加 密 存放 在 注册 表 中 ， 第 三 阶段 攻击 者 将 CobaltStrike 当 作 加 载 器 内 存 加 载 Rust 语言 编写 的 特 马 来 进 
行 保 活 。 当 攻击 者 控制 了 几 天 后 觉得 还 有 控制 的 价值 ， 会 使 用 Rust 特 马 的 功能 将 Linux 和 Windows XX 
平台 特 马 注入 到 系统 进程 中 并 运行 ,在 后 续 的 横向 移动 过 程 中 还 会 内 存 加 载 管 道 特 马 控 制 内 网 其 他 机 器 。 


在 2022 年 未 APT-Q-77 的 攻击 活动 被 我 们 成 功 阻击 后 ， 该 团伙 成 员 甚 至 在 2023 年 1 月 份 通过 相关 VPN 
访问 奇 安信 威胁 情报 中 心 官网 (ti.qianxin.com) 并 阅读 我 们 公开 发 表 的 报告 。 通 过 accesslog 我 们 发 
现 该 团伙 针对 中 国 的 攻击 组 成 员 人 数 大 概 有 8-9 人 ， 这 在 一 定 程度 上 可 能 也 解释 了 为 何 该 团伙 能 够 在 相 
同 的 攻击 时 间 段 内 针对 不 同 目标 使 用 了 多 套 完 全 不 相同 的 加 载 器 ， 并 且 渗 透 手法 也 不 相同 。 


基于 闭 源 威 胁 情报 ，APT-Q-77 还 使 用 Rust 特 马 入 侵 了 西方 国家 的 医疗 化 学 领域 。 
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APT-Q-78 


关键 词 : 地 质 、 科 研 

APT-Q-78 是 一 个 具有 全 球 视野 的 APT 组 织 ， 其 主要 针对 我 国 的 地 质 领域 进行 攻击 。 通 过 WEB 层面 的 
0day/Nday 漏洞 作为 攻击 入 口 ， 拥 有 自己 独特 的 Webshell， 在 横向 移动 过 程 中 擅 于 使 用 Powershell 作 
为 下 载 者 等 待 下 发 Payload。 后 续 攻击 中 释放 了 AnyDesk 和 一 个 基于 BAT 的 API 木马 。AnyDesk 的 使 
用 与 Karakurt Group 有 些 相 像 ， 攻 击 者 主要 通过 API 木马 上 传 数据 和 执行 命令 ， 喜 欢 使 用 Putty 将 受 
害 机 器 的 端口 转发 到 攻击 者 控制 的 跳板 服务 器 上 。 


该 团伙 在 针对 境外 的 活动 中 会 捆绑 一 些 常用 软件 的 安装 包 ， 诱 导 受 害 者 下 载 ， 释 放 的 木马 非常 简单 ， 并 
调用 CMD 执行 远程 服务 器 下 发 的 命令 并 创建 计划 任务 进行 持久 化 操作 。 


Patchwork 


关键 词 : 鱼 叉 邮件 、 可 信 签 名 

摩 词 草 APT 组 织 (Patchwork) 在 2023 上 半年 针对 高 校 、 气 象 、 科 研 、 政 府 等 领域 投递 鱼 又 邮件 ， 整 
体 水 平 相 较 于 以 往 有 较 大 的 提升 ， 起 码 在 木马 方面 开始 着 重 于 免 杀 Loader 的 编写 和 可 信 签名 的 使 用 ， 
同时 在 尝试 使 用 开源 的 渗透 工具 Havoc， 但 是 在 绕 过 EDR 检测 方面 并 没有 那么 的 理想 。 其 投递 的 LNK 
诱饵 会 被 奇 安信 天 擎 终端 安全 软件 直接 拦截 ， 导 致 我 们 看 不 到 后 续 的 Payload， 需 要 手动 下 载 样本 进行 
分 析 。 


在 钓鱼 方面 ， 摩 词 草 组 织 会 伪造 高 校 、 政 府 、 部 委 的 邮箱 登录 页 面 ， 意 图 钓 取 相 关 人 员 的 邮箱 账号 密码 。 
m= El: EK: E: BL. S= F EK “zh lll 


pum -m PPP Egg baat APP FERD 帮助 中 心 加 入 收藏 夫 简体 English 繁体 


CA 登录 扫 码 登录 


A. 图 1.8 摩 启 草 使 用 的 网 络 钓鱼 页 征 
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我 们 发 现 摩 词 草 在 2023 年 1 月 份 使 用 WEB 相关 的 Nday 漏洞 投递 Havoc 木马 入 侵 国 内 的 一 些小 企业 ， 
我 们 认为 这 是 一 次 练 手 行为 , 没有 造成 太 大 的 损失 , 但 这 对 于 南亚 方向 的 APT 组 织 来 说 是 一 次 质 的 飞跃 。 


a3 CNC 


关键 词 : fx 

CNC 作为 南亚 方向 另 一 个 APT 组 织 ， 其 水 平 较 弱 ， 攻 击 方式 也 比较 单一 ， 通 常 是 当 受 害 者 在 钓鱼 页 面 
中 输入 账号 密码 后 会 自动 下 载 一 个 压缩 包 ， 诱 导 受 害 者 打开 压缩 包 中 后 缀 为 “.exe” 的 文件 ， 其 中 tools 
为 隐藏 目录 ， 里 面 存放 着 正常 功能 的 软件 。 


|. tools 2023/4/17 13:28 Xx 
Appendix1.docx 2023/3/16 15:13 Microsoft Word ... 1,045 KB 
[sz] 北京 市 科学 技术 成 果 登 记 系 统 3.5 版 .exe — 2023/3/16 14:53 应 用 程序 815 KB 


A. 图 1.9 压缩 包 截图 


Doc 文档 是 正常 软件 的 使 用 说 明 ， 用 于 迷惑 受害 者 。 


s = 
WR PEFR RIRI X. 

填报 方式 介绍 : 课题 组 通过 “北京 市 科学 技术 成 果 登 记 系 统 V10. 0 Ric" 3 

报 完 成 后 , 将 “cgsbqy. zip” 压 缩 包 发 送 给 科技 处 负责 上 报 的 人 员 ， 由 科技 处 负 

责 上 报 的 人 员 逐 一 将 课题 组 发 送 的 文件 导入 系统 后 , 再 在 进行 导出 上 报 即 可 , F. 
体操 作 方式 如 下 : 

" 一、 课题 组 (科技 处 ) 登录 系统 

1. 打开 软件 ， 选 择 成 果 完成 单位 ， 确 认 登 录 ， 如 图 1.. 


e 


NE 


[=> 


图 1 系统 登录 界面 
9 输入 首位 仿 称 、 即 “x 研究 所 ” 疼 信 类 型 庄 择 “成 里 完成 首位 ” 在 


" 


A. 图 1.10 CNC 组织 使 用 的 诱饵 Doc 文档 截图 
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APT-Q-94 


关键 词 :iOS、iMessage、0day 

卡巴 斯 基 在 6 月 初 发 表 的 Operation Triangulation" 一 文中 提 到 有 黑客 组 织 使 用 iOS 系统 中 iMessage 
言 息 服务 的 0-Click Oday 漏洞 针对 全 球 范围 进行 大 规模 的 攻击 。 卡 巴 斯 基 声称 发 现 公司 内 部 多 名 员工 ， 
包括 中 高 层 管理 人 员 为 此 次 攻击 的 受害 者 ， 并 认为 此 次 攻击 的 主要 目标 不 是 卡巴 斯 基 。 研 究 人 员 追 溯 到 
最 早 的 感染 出 现在 2019 年 ， 截 至 2023 年 6 月 报告 发 布 时 ， 攻 击 仍 在 进行 。 


我 们 结合 卡巴 斯 基 的 报告 在 国内 范围 确认 了 部 分 受害 者 ， 同 时 观察 到 有 一 部 分 受害 者 在 没有 开启 
iMessage 的 情况 下 仍然 回 连 恶意 域名 ， 我 们 推测 攻击 者 在 2019 年 至 今 的 活动 中 应 该 使 用 了 多 个 iOS 的 
0day 漏洞 进行 间谍 活动 。 


结合 卡巴 斯 基 的 报告 和 奇 安信 威胁 情报 中 心 的 研判 调查 结果 ， 可 以 看 出 攻击 者 具备 超 强 的 攻击 能 力 和 资 
源 。 从 该 攻击 活动 的 目标 范围 、 复 杂 度 、 攻 击 技术 和 跨越 时 间 来 看 ， 这 是 近 十 年 内 最 顶尖 的 国家 级 APT 
攻击 活动 。 且 该 攻击 活动 背后 的 攻击 团伙 与 以 往 披露 的 北美 地 区 国家 背景 的 黑客 组 织 十 分 相似 ， 奇 安信 
以 内 部 编号 APT-Q-94 持续 进行 跟踪 。 


三 、2023 上 半年 境内 受害 行业 分 析 


进一步 通过 奇 安信 威胁 雷达 的 遥测 感知 和 奇 安信 红 雨 滴 团 队 基 于 客户 现场 的 APT 攻击 线索 ， 并 结合 使 用 
了 奇 安 信 威 胁 情报 的 全 线 产品 告警 数据 进行 分 析 : 2023 上 半年 涉及 我 国政 府 、 能 源 、 科 研 教育 、 金 融 
商贸 的 高 级 威胁 事件 占 主 要 部 分 , 其 次 为 科技 、 国防、 卫生 医疗 等 领域 。 相关 受 影响 的 境内 行业 分 布 如 下 。 


2023 上 半年 高 级 威胁 事件 涉及 境内 行业 分 布 《[ 思 > 奇 安信 


其 他 4% iia 
LIES 
医疗 5% 
-人 
科技 7 
金融 商贸 11% 


A. 图 1.11 2023 上 半年 高 级 威胁 事件 涉及 境内 行业 分 布 情况 
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基于 上 述 数 据 分 析 ， 针 对 我 国境 内 攻击 的 APT 组 织 活 跃 度 排名 及 其 关注 的 行业 领域 如 下 表 。 


组 织 名 称 涉及 行业 

TOP1 APT-Q-20 ( &zB& ) 国防 、 政 府 、 科 技 、 教 育 
TOP2 APT-Q-31 ( 海 莲花 ) 政府 、 能 源 、 科 研 
TOP3 APT-Q-29 (Winnti) 互联 网 产业 、 金 融 、 科 技 
TOP4 APT-Q-37 ( ERTE ) 政府 、 科 研 、 国 防 、 能 源 
TOP5 APT-Q-27 博彩 、 诈 骗 

TOP6 APT-Q-39 ( 响尾蛇 ) 政府 、 国 防 、 教 育 
TOP7 APT-Q-1 (Lazarus) 政府 、 金 融 

TOP8 APT-Q-36 ( 摩 词 草 ) 政府 、 科 研 、 教 育 、 军 工 
TOP9 APT-Q-2 (Kimsuky) 政府 、 媒 体 、 教 育 、 金 融 
TOP10 APT-Q-38 ( 肚 脑 虫 ) 政府 、 国 防 


A 表 1.12 活跃 组 织 排名 及 针对 的 目标 行业 
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第 二 章 全 球 高 级 持续 性 威胁 综述 


公开 来 源 的 APT 情报 (以 下 简称 “开源 情报 ”) 分 析 是 了 解 全 球 网 络 安全 研究 机 构 安 全 关注 ， 认 知 全 球 
高 级 持续 性 威胁 发 展 趋势 的 重要 手段 之 一 。 奇 安信 威胁 情报 中 心 对 全 球 200 多 个 主要 的 APT 类 情报 来 
源 进 行 持续 监测 ， 监 测 内 容 包括 但 不 限于 APT 攻击 组 织 报 告 、APT 攻击 行动 报告 、 疑 似 APT 的 定向 攻 
击 事件 、APT 攻击 相关 的 恶意 代码 和 漏洞 分 析 ， 以 及 我 们 认为 需要 关注 的 网 络 犯罪 组 织 及 其 相关 活动 。 


本 章 内 容 及 结论 主要 基于 对 上 述 开源 情报 以 及 内 部 威胁 雷达 数据 的 整理 与 分 析 。 


一 、 全 球 高 级 威胁 研究 情况 


奇 安信 威胁 情报 中 心 在 2023 上 半年 监测 到 的 高 级 持续 性 威胁 相关 公开 报告 总 共 177 篇 。 各 月 监测 数据 
如 下 图 所 示 。 


p-e 


2023 上 半年 全 球 公开 的 高 级 威胁 报告 数量 月 度 统计 <en 奇 安信 


43 
36 
33 
24 24 
| i | 
Jan Feb Mar Apr May Jun 


公开 的 高 级 威胁 报告 数量 月 度 统计 


M 


Z| 2.12023 上 半年 全 球 


二 、 受 害 目 标的 行业 与 地 域 


通过 对 开源 情报 数据 整理 分 析 ， 在 全 球 2023 上 半年 披露 的 APT 相关 活动 报告 中 ， 涉 及 政府 (包括 外 交 、 
政党 、 选 举 相 关 ) 的 攻击 事件 占 比 为 30%， 其 次 国防 军事 相关 事件 占 比 为 16%， 教 育 行业 占 比 1196, 
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涉及 科研 、 金 融 行业 的 占 比 均 为 9%。 政 府 机 构 、 国 防 军 事 仍 是 APT 攻击 的 重 灾区 。 与 去 年 相 比 ， 教 育 、 
科研 领域 相关 的 攻击 事件 所 占 比 例 增高 。 


2023 上 半年 全 球 高 级 威胁 事件 涉及 行业 分 布 情况 如 下 图 所 示 。 


2023 年 上 半年 高 级 威胁 事件 涉及 行业 分 布 情况 < SEES 


制造 3% 媒体 N 
加 密 货币 4% | 
通信 4 a 
医疗 4%- AS 
金融 % P>. 
国防 军事 
科研 9% w 16% 


全 图 2.22023 上 半年 全 球 高 级 威胁 事件 涉及 行业 分 布 


高 级 威胁 活动 涉及 目标 的 国家 和 地 域 分 布 情况 统计 如 下 图 〈 摘 录 自 公开 报告 中 提 到 的 受害 目标 所 属国 家 
或 地 域 ) ， 可 以 看 到 高 级 威胁 攻击 活动 主要 集中 在 东亚 、 南 亚 、 东 欧 的 几 个 国家 和 地 区 。 
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《后 > 奇 安 信 威 胁 情报 中 心 


= 


阿拉 伯 半 


全 图 2.3 2023 上 半年 公开 披露 的 高 级 威胁 活动 针对 的 国家 和 地 区 


三 、 活 路 高 级 威胁 组 织 情况 


本 次 报告 对 开源 情报 中 提 太 的 所 有 APT 组 织 及 相关 行动 进行 了 分 析 和 整理 。 其 中 ， 提 及 率 最 高 的 五 个 
APT 组 织 分 别 是 : Kimsuky 8.896, Lazarus 8.096, Group123 7.496, SideCopy 5.696, Gamaredon 4.3%。 
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2023 上 半年 公开 报告 披露 的 高 级 威胁 组 织 活跃 情况 (Qoo 奇 安信 


oa +. £: 
€ So ET 
ics, ENNEEEEEEER 


Gamar edon 4. 3% 


0% 1% 2% 3% 4% 5% 6% 7% 8% 9% 10% 


A 图 2.42023 上 半年 全 球 活跃 高 级 威胁 组 织 


进一步 对 公开 报告 的 高 级 威胁 活动 中 命名 的 攻击 行动 名 称 、 攻 击 者 名 称 进行 统计 ， 并 对 同一 背景 来 源 归 


类 处 理 后 的 情况 如 下 ， 总 共 涉 及 64 个 命名 的 威胁 来 源 。 不 难看 出 ， 这 些 活跃 的 APT 组 织 所 在 地 域 分 布 
相对 集中 ， 主 要 位 于 东亚 、 南 亚 地 区 。 


> 
IXI 


x] 2.5 2023 上 半年 公开 披露 的 高 级 威胁 类 攻击 组 织 和 行动 
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四 、2023 上 半年 高 级 威胁 活动 特点 


移动 端 漏洞 攻击 风云 再 起 


一 直 以 来 ，Windows 都 是 APT 团伙 首要 关注 的 目标 平台 ， 而 随 着 近年 移动 端 平 台 攻击 的 崛起 ， 针 对 移 
动 平台 iOS/Android 的 Oday 攻击 也 逐渐 增多 。 相 较 于 PC 平台 ， 移 动 端 手机 在 物理 上 更 接近 受害 者 ， 
具备 天 然 的 监听 优势 ， 同 时 移动 平台 中 的 数据 也 更 加 私密 且 定 向 。 但 无 论 是 iOS 还 是 Android 平台 ， 想 
要 实现 0-Click 式 的 漏洞 利用 攻击 ， 难 度 要 比 传统 PC 平台 高 上 不 少 ， 因 此 能 进行 相关 攻击 的 团伙 通常 技 
术 实 力 积累 雄厚 或 者 背 靠 国家 机 器 。 


2023 年 6 月 ， 卡 巴 斯 基 披露 的 Operation Triangulation"? 正 是 这 样 一 起 攻击 ， 详 细 内 容 可 见 后 文 漏洞 
部 分 。 整 个 攻击 从 2019 年 开始 ， 持 续 了 整整 四 年 ， 其 受害 者 覆盖 多 个 国家 的 重点 企业 及 重要 人 物 ， 波 
Ko EE|Z2 << AB El, 


网 络 设备 成 为 廉价 的 C2 屏障 及 攻击 向 量 


传统 的 网 络 设备 ， 如 路 由 器 、 防 火 墙 等 常 位 于 企业 网 络 拓扑 的 关键 位 置 ， 但 长 期 以 来 这 些 设备 的 安全 性 
都 没 得 到 足够 的 重视 。 尽 管 NSA 针对 防火 墙 的 攻击 武器 早 于 2017 年 曝光 ， 实 际 上 关注 这 些 网 络 设备 本 
身 安全 性 的 人 员 并 不 多 。 此 外 ， 由 于 质保 过 期 等 各 种 原因 ， 很 多 网 络 设备 的 安全 补丁 甚至 处 于 非常 滞后 
的 状态 ， 因 此 近年 来 网 络 设备 成 为 了 很 多 APT 攻击 者 的 目标 ， 如 海 莲 花 、APT28， 他 们 都 经 常 攻击 一 些 
外 网 上 存在 漏洞 的 网 络 设备 。 被 攻陷 的 网 络 设备 一 方面 可 以 作为 C2 的 转发 器 ， 用 于 隐藏 攻击 者 的 真实 
IP， 另 一 方面 也 可 以 作为 攻击 入 口 进行 更 深入 的 横向 移动 。 
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三 章 地 缘 下 的 APT 组 织 、 活 动 和 趋势 


地 域 分 析 是 APT 研究 的 重要 方面 。 一 方面 ， 同 一 地 域 范 围 的 APT 组 织 和 APT 活动 常常 出 现 一 些 重 蔷 ， 
其 可 能 针对 相似 的 攻击 目标 或 者 使 用 类 似 的 TTP; 另 一 方面 ， 同 一 地 区 发 生 的 很 多 APT 活动 ， 都 与 地 缘 
政治 因素 密切 相关 ， 这 对 分 析 APT 活动 的 意图 和 动机 很 有 帮助 。 


3.1 列举 了 2023 上 半年 全 球 各 地 区 主要 活跃 的 APT 组 织 ， 全 球 主 要 APT 组 织 列表 也 可 以 参见 附录 1, 


| xm APT 组 织 "—- 
APT28 十 十 十 
D A4 APT29 十 十 十 
Turla 十 十 十 
Sandworm +++ 
er edo 十 
UAC-0056 + Lazarus 
| FIN7 + Kimsuky 
DustSquad Tt APT37 
APT43 
北美 APT 组 织 攻击 能 力 
d B| 
Q— —. a Longhorn tit 
东南 亚 APT 组 织 a | Equation Group TER. 
PROMETHIUM APT-Q-94 ++ 
双 尾 蝎 | 海 莲花 十 十 | 
MuddyWater quem APT 组 织 pepara] Saaiwc + 
APT34 N E 
APT35 Bai 十 
Agrius 肚 脑 虫 /Donot Team + 
透明 部 落 /Transpar + 
entTribe CES 
SideCopy 十 AIRE 
响尾蛇 /Sidewinder ++ Regin 
摩 词 草 ++ 
幼 象 /CNC 十 | 
k - 


攻击 能 力 级 别 国 圈 大 小 


击 载荷 用 和 攻击 技术 ， 攻 下 图 例 
疑似 地 域 归 属 (2) 未 知 地 域 归属 


IRI 


到 3.12023 上 半年 全 球 APT 组 织 分 布 情况 


2023 年 中 报告 


东亚 地 区 的 组 织 与 行动 
Ea tA ia 


东亚 地 区 APT 组 织 以 其 攻击 活动 高 度 的 持续 性 、 攻 击 方式 复杂 性 和 隐蔽 性 而 著称 ， 对 政府 、 军 事 、 金 融 、 
能 源 、 教 育 等 多 个 领域 构成 了 严重 的 威胁 。 


东亚 APT 组 织 攻击 能 力 


Lazarus 
Kimsuky 十 

APT37 T 
APT43 
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在 2023 年 上 半年 公开 披露 的 东亚 地 区 APT 组 织 报告 中 ， 我 们 见证 了 这 些 组 织 所 使 用 的 种 类 繁多 的 攻击 
技术 ， 包 括 复杂 的 社会 工程 学 手段 、 供 应 链 攻击 、 鱼 叉 式 钓鱼 攻击 和 0day 漏洞 攻击 等 。 表 3.2 列 出 了 
东亚 地 区 部 分 APT 组 织 的 相关 信息 : 


最 早 活动 时 间 公开 披露 时 间 组 织 简介 


Lazarus 2009 2009 Lazarus 组 织 被 认为 是 地 属 东亚 的 APT 组 织 ， 其 不 
仅 专 注 于 间谍 和 网 络 渗透 攻击 ， 还 以 金融 机 构 、 虚 
拟 货 币 交 易 所 等 为 目标 ， 进 行 以 敛财 为 目的 的 攻击 
活动 。 


Kimsuky 2013 2013 Kimsuky 最 早 由 卡巴 斯 基于 2013 年 公开 披露 并 命 

名 ， 攻 击 活动 最 早 可 追溯 至 2012 年 。 其 被 认为 具 
有 东亚 地 区 背景 ， 与 Group123 APT 组 织 存在 基础 
设施 重 赤 等 关联 性 。 


APT37 2012 2016 Group123， 也 称 ScarCruft, 在 2016 年 6 月 由 
卡巴 斯 基 最 先进 行 披露 ， 最 早 活跃 于 2012 年 ， 该 
组 织 被 认为 与 2016 年 的 Operation Daybreak 和 
Operation Erebus 有 关 。Group123 和 APT 组 织 
Kimsuky £z E'RHIEEB S, 


APT43 2018 2023 Mandiant Bl 2018 年 以 来 一 直 在 跟踪 该 组 织 ， 该 组 
织 进行 间谍 活动 的 重点 区 域 是 韩国 、 日 本 、 欧 洲 和 
美国 , 攻击 目标 包括 政府 、 商 业 服务 和 制造 业 ， 以 
及 专注 于 地 缘 政 治 和 核 政策 的 教育 、 研 究 和 智库 。 


A 表 3.22023 上 半年 东亚 地 区 活跃 APT 组 织 


在 2023 年 上 半年 ，Lazarus 组 织 继续 以 金钱 和 情报 窃取 为 驱动 力 ， 对 加 密 货 币 、 金 融 、 国 防 等 行业 
进行 了 更 加 激烈 的 攻击 。 在 公开 披露 的 活动 中 ，Lazarus 组 织 不 仅 利 用 加 密 货币 钱包 作为 攻击 手段 ， 
还 将 目标 扩大 到 卫星 通信 接收 器 和 调制 解 调 器 等 领域 。 特 别 值得 注意 的 是 ，2023 年 3 月 29 日 ， 各 大 
安全 公司 纷纷 报道 了 涉及 3CXDesktopApp 音 视频 会 议 软 件 的 供应 链 攻 击 事 件 ， 后 续 CrowdStrike、 
Kaspersky, Volexity 等 安全 厂商 证 实 攻击 源 自 Lazarus 组 织 。 这 一 事件 凸显 了 该 组 织 在 攻击 策略 和 手 
段 方面 的 持续 创新 和 进步 。 


另外 ，Kaspersky 在 2023 年 4 月 12 日 发 布 的 博客 中 指出 ， 他 们 在 追踪 由 Lazarus 组 织 展开 的 
DeathNote 攻击 活动 中 观察 到 该 组 织 在 攻击 目标 上 的 转变 以 及 攻击 者 在 使 用 工具 、 技 战术 流程 方面 的 发 
展 和 完善 。 该 活动 将 攻击 重点 转移 到 国防 工业 领域 ， 并 采用 了 新 的 感染 媒介 和 策略 ， 以 针对 国防 承包 商 
进行 攻击 。Lazarus 组 织 的 持续 活动 显示 出 其 在 网 络 攻击 领域 的 专业 能 力 和 资源 支持 。 该 组 织 不 断 改进 
攻击 技术 ， 使 其 成 为 一 个 对 东亚 地 区 甚至 全 球 范围 内 的 经 济 、 金 融和 国防 安全 都 极 具 威胁 的 存在 。 
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en 


Malicious 
SecurePDF.exe 
' 
' 
e=... bem------=~、 
I Y H 
' 
' © ( 学 ) 1 C2 operation 
PUE MES —nss aos — s 
' i ©) load C2!operation 
1 ' n DUI70.dll ' 
' CameraSettingsUIHost.exe C2 server 
' 1 ii ^ (Downloader) H a AAA 
` + - - 


(党 ) 


LPEClient variant 


, ` 
, 
: | 
* Technique: CameraSettignUIHost.exe side-loading 1 Memory-resident payload 
H @ Path: C:\ProgramData\Foxit Software\Foxit Reader\FoxitConnectPDF\ į (ForestTiger) ' 
' 
' i ' 
' P oripisotsinadz iui icc a a ' i 
' I Y i ' 
— s — (总 ) J I © | 
1 load ( w ) ' Lateral I (9 Decrypt and load Decrypt and load ' 
' ' ' ' 
movement on the memory config 
ICameraSettingsUIHost.exe DUI70.dll H H devobj.dll PerceptXml.dat PerceptFrame.dat i 
A (Backdoor) a ` z 
ThreatNeedle variant(ForestTigerHjk64) Preliminary backdoor or lateral movement 
* Technique: CameraSettignUIHost.exe side-loading * Technique: ServiceMove(Abusing of PerceptionSimulation service) 


e Path: C:\Windows\system32\PerceptionSimulation\ 


[°] 


Exfiltrate 
commands 


A. 图 3.3 Lazarus 组 织 针对 国防 承包 商 的 攻击 链 中 


Kimsuky 组 织 在 2023 年 上 半年 继续 扩大 攻击 面 ， 尤 其 该 组 织 在 移动 端的 恶意 活动 更 是 频繁 。 他 们 擅长 


对 特定 的 个 人 、 组 织 或 行业 对 诱饵 进行 定制 化 ， 利 用 精心 设计 的 诱饵 诱 使 用 户 点 击 恶意 链接 或 下 载 恶 意 
应 用 以 展开 定向 攻击 。Kimsuky 组 织 采 用 多 种 手段 来 获取 特定 数据 ， 包 括 使 用 钓鱼 网 站 或 者 植 入 恶意 软 
件 。 其 钓鱼 网 站 通常 伪装 成 合法 的 应 用 或 服务 , 引诱 用 户 提供 敏感 信息 , 例如 登录 凭据 、 银 行 账户 信息 等 。 
此 外 ， 他 们 还 会 利用 植 入 的 恶意 代码 实现 敏感 数据 窃取 或 远程 监控 。 


APT37 常 采 用 钓鱼 邮件 作为 初始 入 侵 手 段 ， 或 者 攻陷 合法 Web 站 点 然后 展开 水 坑 攻 击 。 该 组 织 擅 长 利 
用 0day/Nday 漏洞 ， 并 具备 漏洞 利用 开发 的 技术 。APT37 去 年 曾 利 用 Internet Explorer 的 JScript 引 
擎 中 的 Oday 漏洞 CVE-2022-41128 对 东亚 某国 发 起 攻击 。 


2023 年 上 半年 ，APT37 不 断 改 进 其 工具 和 技 战术 流程 ， 利 用 多 种 文件 格式 执行 恶意 操作 ， 使 用 过 的 文 
件 格式 包括 Windows 帮助 文件 (CHM) 、HTA、HWP (Hancom Office) 、XLL (MS Excel 插件 ) 和 
携带 宏 的 MS Office 文件 。APT37 组 织 还 使 用 1SO 文件 对 韩国 外 交 部 门 进 行情 报 窃取 。 在 此 次 攻击 活动 中 ， 
投递 的 ISO 文件 包含 两 个 带 有 大 量 无 效 填充 数据 的 LNK 文件 ， 运 行 后 释放 HWP 诱饵 文档 及 BAT 文件 ， 
然后 执行 Powershell 命令 下 载 后 续 恶 意 载荷 ， 最 终 解密 RokRAT 并 与 合法 的 云 服务 pCloud 进行 通信 ， 
获取 攻击 者 下 发 的 恶意 指令 并 执行 。 
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APT43 于 今年 3 月 份 由 Mandiant 披露 上。Mandiant 的 报告 显示 APT43 一 直 保 持 着 高 节奏 的 活动 ， 在 

络 钓鱼 和 凭证 收集 方面 表现 出 色 。 它 的 攻击 目标 主要 集中 在 韩国 、 美 国 、 日 本 和 欧洲 等 区 域 ， 并 特别 
den 教育 、 研 究 和 智库 领域 , 尤其 是 地 缘 政 治 、 核 政策 、 商 业 服 务 和 制造 业 。 除 了 进行 间谍 活动 外 ， 
APT43 还 通过 网 络 犯罪 活动 筹集 资金 ， 以 支持 其 情报 窃取 的 主要 任务 。 该 组 织 创造 了 许多 虚假 的 个 人 身 
份 信息 用 于 实施 社会 工程 学 攻击 ， 或 者 用 于 购买 操作 工具 和 网 络 基础 设施 。 


组 织 活动 描述 披露 时 间 披露 机 构 


Kimsuky Kimsuky 移动 端 恶意 活动 瞄 向 韩国 东亚 研究 所 国家 安全 主任 外 2023/1/1 安 天 


Lazarus 疑似 APT-C-26 (Lazarus) 组 织 通 过 加 密 货币 钱包 推广 信息 进行 攻击 活 2023/1/11 360 


动 分 析 
APT38 TA444: 虽 在 收购 (您 的 资金 ) 的 APT 初创 公司 " 2023/1/25 Proofpoint 
Lazarus 黑客 攻击 印度 医疗 机 构 和 能 源 部 门 9 2023/2/2 Withsecure 
APT37 使 用 隐 写 术 的 韩文 (HWP) 恶意 软件 : RedEyes"! 2023/2/14 ASEC 
Lazarus Lazarus 组 织 使 用 的 反 取证 技术 P! 2023/2/15 ASEC 
Lazarus WinorDLL64: 来 自 庞大 的 Lazarus 武器 库 的 后 门 P 2023/2/23 Welivesecurity 
Kimsuky Kimsuky 最 新 网 络 钓鱼 攻击 披露 ， 韩 国 主流 金融 APP 成 重 灾区 UU 2023/3/3 ER 


Kimsuky 伪装 成 朝鲜 相关 问卷 的 CHM 恶意 软件 二 2023/3/13 ASEC 


Kimsuky Kimsuky 试图 伪装 成 “网 络 安全 局 ”邮件 进行 黑客 攻击 中 2023/3/14 ESTsecurity 


Kimsuky Kimsuky 组 织 伪装 成 “协议 离婚 意向 确认 申请 书 ” 分 发 QuasarRATD3 2023/3/15 ESTsecurity 


Kimsuky Kimsuky 组 织 似乎 正在 像 网 络 犯罪 团伙 一 样 利用 OneNote ^ 2023/3/17 Medium 
APT37 APT37 Id) — £ Hl 2023/3/21 Zscaler 
Lazarus GhostSec 瞄准 卫星 接收 器 "9 2023/3/27 Cyble 
APT37 APT Reaper 强大 武器 的 Chinotto ARRS 7 2023/3/28 Threatmon 
APT43 APT43: 利用 网 络 犯 罪 资助 间谍 活动 9 2023/3/28 Mandiant 
Kimsuky Kimsuky Group 使 用 ADS 隐藏 恶意 软件 09! 2023/3/29 ASEC 
Lazarus 通过 3CX 供应 链 攻击 部 署 Gopuram 后 门 "9 2023/4/3 Kaspersky 
APT43 保护 用 户 免 受 来 自 东亚 APT 组 织 的 攻击 中 2023/4/5 Google 
Lazarus 跟踪 Lazarus 组 织 的 DeathNote 活动 ?! 2023/4/12 Kaspersky 
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披露 时 间 


披露 机 构 


APT43 
Lazarus 
Lazarus 
APT37 
APT37 
Kimsuky 
Kimsuky 
APT37 


APT37 


Lazarus 
Kimsuky 
APT37 
Kimsuky 


Kimsuky 


APT43: 对 其 网 络 犯罪 活动 的 调查 中 

Linux 恶意 软件 加 强 了 Lazarus 与 3CX 供应 链 攻击 之 间 的 联系 P1 
BlueNoroff APT 团伙 使 用 “RustBucket” 恶 意 软件 针对 macos”! 
APT37 针对 韩国 外 交 部 下 发 RokRAT 的 窍 密 活动 分 析 09 

连锁 反应 : ROKRAT 的 缺失 环节 加 

Kimsuky 在 新 的 全 球 战役 中 发 展 侦察 能 力 四 

Kimsuky 组 织 使 用 Meterpreter 攻击 Web 服务 器 9?! 

ScarCruft 组 织 利用 恶意 文档 投递 RokRat 攻击 活动 分 析 0? 


冒充 朝鲜 人 权 组 织 负责 人 针对 朝鲜 人 权 领域 代表 进行 的 鱼 叉 式 网 络 钓鱼 
攻击 n 


Lazarus 组 织 以 Windows IIS Web 服务 器 为 目标 P?! 

Kimsuky: 使 用 量 身 定制 的 侦察 工具 包 进 行 持续 的 活动 站 
逆向 RokRAT: 深入 了 解 APT37 基于 Onedrive 的 攻击 向 量 9^ 
网 络 攻击 者 冒充 目标 收集 情报 名 


假借 “生日 祝福 ”为 诱饵 分 发 Quasar RAT 的 攻击 活动 分 析 ° 


A 表 3.4 2023 上 半年 东亚 地 区 APT 组 织 热点 攻击 活动 


2023/4/20 


2023/4/20 


2023/4/21 


2023/4/28 


2023/5/1 


2023/5/4 


2023/5/15 


2023/5/19 


2023/5/23 


2023/5/23 


2023/5/23 


2023/5/31 


2023/6/1 


2023/6/5 


VirusTotal 
Welivesecurity 


Jamf 


Checkpoint 
Sentinelone 
ASEC 

360 


Genians 


ASEC 
Sentinelone 
Threatmon 
NSA 


360 
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东南 亚 地 区 的 组 织 与 行动 
Southeast Asia 


2023 年 上 半年 ， 一 个 有 着 独特 TTP 的 攻击 团伙 Saaiwc (别名 DarkPink) 出 现在 大 众 视野 中 ， 目 标 包 
括 东 南亚 和 欧洲 多 国 的 政府 机 构 、 军 事 部 门 。 海 莲花 组 织 在 今年 上 半年 被 披露 的 活动 迹象 减少 ， 疑 似 曾 
针对 越南 几 家 大 型 企业 展开 情报 收集 行动 。 


东南 亚 APT 组 织 ”攻击 能 


海 莲花 十 十 
Saaiwc 十 


海 莲 花 2012 
Saaiwc 2021 


2015 


2023 


表 3.5 2023 上 半年 


Saaiwc 组 织 攻击 范 


7 地 


RA 


XJA APT 组 织 
CER, ERIT REGNO AREIBUBUN. EEIN, YR DA 
比利时 的 教育 机 构 ， 以 及 越南 境内 的 宗教 和 非 营 利 组 织 ， 国 外 安全 厂商 还 


2012 年 4 


莲花 组 织 是 由 奇 安信 威胁 情报 中 心 最 早 披露 并 命名 的 一 
LE 起 ， 该 组 织 


个 APT 组 
针对 中 国政 府 、 科 研 院 所 、 海 事 机 构 、 


海域 建设 、 航 运 企业 等 相关 重要 领域 展开 了 有 组 织 、 有 计划 、 有 针对 


性 的 长 时 间 不 间断 攻击 。 

海 莲 花 组 织 的 攻击 目标 包括 中 国 和 东南 亚 地 区 多 国 ， 蔡 盖 政府 机 构 、 
科研 院 所 、 媒 体 、 企 业 等 诸多 领域 。 

Saaiwc 组 织 又 名 DarkPink， 于 2023 年 1 月 由 国内 外 安全 厂商 先后 


披露 ， 活 动 时 间 可 追溯 至 2021 年 年 中 ， 在 2022 年 进入 攻击 活动 高 


发 期 。 


该 组 织 的 攻击 H 标 包括 越南 境内 


度 尼 西亚 、 


H 


机 构 ， 以 及 欧洲 


发 展 署 位 于 越南 的 部 门 发 起 攻击 ， 尽 管 并 未 成 功 。 


Religious 
organization 


Non-profit 
organization 


» Military. 


body 


Belgium 
Educational 
institution 


Attacks by country: 


E] 3.6 = 


Saaiwc 组 织 以 鱼 叉 式 钓鱼 邮件 作为 初始 入 侵 手 段 ， 


Vietnam 


Bosnia and Herzegovina 


Cambodia 
Indonesia 
Malaysia 
Philippines 
Belgium 
Thailand 


Brunei 


1 
2 (+1) 


全 厂商 Group-IB 发 现 的 Saaiwc 组 织 攻击 


Wl Government 


agency 


= Miltary 
body 


Government 
ministry 


Government 
ministry 


European state 
development 
agency in Vietnam 


家 的 政府 、 教 育 


Non 
organization 


的 宗教 、 非 营利 组 织 ， 马 来 西亚 、 印 
请 寨 、 菲 律 宾 、 泰 国 、 文 莱 等 东南 亚 国家 的 政府 和 军事 


机 构 。 


洲 国家 波 黑 的 政府 机 构 、 
见 察 到 Saaiwc 曾 对 欧洲 国家 


N 


profit 
Indonesia 
L Gove t 


agency 


Attacks by organization: 


x Governmental 
Military 
J Developmental al 
Non-profit 
Religious 1 


Education 1(+1) 


标 中 


3(+1) 


2(+1) 


恶意 文件 常 包含 在 150 文件 中 进行 投递 。 其 拥有 一 
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套 自 研 的 攻击 武器 ， 常 用 Powershell 脚本 ， 借 助 Github 托管 后 续 载 荷 ， 后 门 通过 Telegram API 接收 
攻击 者 下 发 的 控制 指令 。 


该 组 织 使 用 的 自 研 攻击 武器 如 下 Be 人: 


组 织 最 早 活动 时 间 

TelePowerBot Powershell 后 门 , 也 被 其 他 安全 厂商 称 为 PowerDism ,使 用 Telegram API #47 C2 通信 ,具有 收集 信息 、 
执行 后 续 载荷 的 功能 

KamiKakaBot Cit 版 本 的 TelePowerBot 

Cucky C# 开发 的 浏览 器 窃 密 工具 ， 收 集 多 种 浏览 器 的 数据 ， 包 括 密码 、 浏 览 记 录 、 登 录 信 息 和 cookie， 收 


集 的 数据 保存 在 感染 设备 的 指定 目录 下 ， 由 后 门 完成 数据 回 传 


Ctealer C/C++ 版 本 的 Cucky 

ZMsg 获取 感染 设备 上 Viber、Telegram、Zalo 等 通讯 软件 的 数据 ， 收 集 的 数据 保存 在 指定 目录 下， 等待 后 
门 完 成 数据 回 传 

某 Excel 插件 用 于 检查 感染 设备 上 TelePowerBot 后 门 是 否 还 存在 ， 当 Excel 启动 时 执行 检查 操作 。 


关键 字符 串 经 过 XOR 加 密 ， 加 密 的 key 由 进程 名 和 打开 文件 后 缀 名 两 个 参数 计算 得 到 ， 只 有 当 进 程 名 
为 “excel.exe” 且 文件 后 缀 为 “.xlsx” 时 ， 才 会 得 到 正确 的 解密 key; 


A 表 3.7 Saaiwc 组 织 的 自 研 攻击 武器 


Saaiwc 组 织 植 入 后 门 的 方式 有 三 种 。 


(1) 方式 一 

ISO 文件 中 包含 诱饵 文档 、EXE 文件 和 恶意 DLL 文件 。EXE 文件 伪装 为 文档 诱 使 受害 者 点 击 运行 ， 通 过 

DLL 侧 加 载 执行 恶意 DLL 文件 。 恶 意 DLL 文件 实现 后 门 TelePowerBot 的 持久 化 。 

采用 的 持久 化 方式 比较 特殊 ， 注 册 表 中 设置 的 自 启动 项 会 打开 “.abcd” 后 级 的 文件 ， 而 在 注册 表 中 为 
“.abcd” 后 级 文件 设置 的 默认 打开 方式 ， 则 包含 了 TelePowerBot 后 门 代码 和 启动 后 门 的 指令 。 


(2) 方式 二 
ISO 文件 中 包含 诱饵 文档 ， 诱 乌 文 档 通 过 远程 模板 注入 的 方式 加 载 托 管 在 Github 上 带 有 恶意 宏 代 码 的 
文档 ， 宏 代码 完成 TelePowerBot 的 持久 化 ， 与 方式 一 相同 。 


(3) 方式 三 
ISO 文件 中 包含 诱 乌 文档 、EXE 文件 和 恶意 DLL 文件 ， 通 过 DLL 侧 加 载 执行 恶意 DLL 文件 ， 恶 意 DLL 
文件 实现 后 门 KamiKakaDropper 的 持久 化 。 


恶意 DLL 从 诱饵 文 档 中 解密 出 XML 文件 ， 释 放 的 XML 文件 包含 MSBuild 项 目 ， 也 包含 经 过 编码 的 
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KamiKakaBot 后 门 数 据 。 持 久 化 方式 为 设置 注册 表 ， 使 用 户 登 录 系 统 时 调用 msbuild.exe 运行 释放 的 
XML 文件 。 此 外 恶意 DLL 还 会 创建 一 个 周期 任务 让 受害 者 从 系统 中 登 出 。 


Saaiwc 组 织 使 用 的 后 门 检测 到 感染 主机 有 U 盘 插 入 或 存在 网 络 共享 时 ， 会 从 Github 下 载 包含 后 门 程序 
的 压缩 包 ， 在 U 盘 和 网 络 共享 文件 夹 中 创建 LNK 文件 伪装 为 原始 文件 或 文件 夹 ，LNK 文件 包含 的 命令 
启动 后 门 程序 释放 器 ， 完 成 后 门 在 新 设备 上 的 持久 化 。 攻 击 者 通过 这 种 方式 实现 在 受害 者 网 络 内 部 的 恶 
意 软件 传播 和 横向 移动 。 


攻击 者 从 感染 设备 上 收集 的 所 有 数据 保存 在 指定 目录 中 ， 数 据 不 会 立马 回 传 ， 而 是 当 攻击 者 下 发 指令 时 
才 将 其 打包 回 传 。 数 据 回 传 渠道 除了 Telegram， 还 有 Dropbox， 在 一 些 攻击 活动 中 也 曾 使 用 过 邮件 方 
式 回 传 ， 攻 击 者 还 在 近期 攻击 中 借助 Webhook.site 网 站 服务 回 传 穷 取 的 数据 。 


Saaiwc 组 织 常 在 攻击 过 程 中 使 用 LOLBin， 比 如 曾 用 Windows Defender 的 ConfigSecurityPolicy.exe 
组 件 下 载 文件 。 攻 击 者 在 渗透 过 程 中 会 检查 感染 设备 上 是 否 有 特定 的 LOLBin 文件 存在 ,方便 用 于 之 后 
的 恶意 代码 执行 和 下 载 操作 。 


在 2023 年 1 月 公开 披露 前 ，Saaiwc 组 织 攻击 链 中 使 用 的 后 续 载 荷 托管 在 同一 个 Github 账户 下 ， 曝 光 
后 攻击 者 除了 使 用 新 的 Github 账户 ， 也 使 用 TextBin.net 网 站 服务 分 发 后 续 载 荷 。 


2023 年 6 月 ，Elastic 安全 团队 披露 一 起 针对 越南 农业 企业 的 攻击 活动 下， 此 次 攻击 中 发 现 的 几 款 新 型 
恶意 软件 也 出 现在 2022 年 另 一 起 针对 越南 金融 服务 公司 的 攻击 活动 中 。 研 究 人 员 认 为 ， 两 起 攻击 活动 
可 能 与 海 轩 花 组 织 具 有 一 定 联 系 。 攻 击 者 使 用 的 几 种 恶意 软件 如 下 : 


组 织 名 最 早 活动 时 间 


SPECTRALVIPER 经 过 混淆 的 x64 后 门 , 具有 的 功能 包括 : PE 加 载 和 注入 、 文件 上 传 和 下 载 、 文件 和 目录 操纵 、 令 牌 模拟 、 
命名 管道 和 HTTP C2 控制 


P8LOADER 经 过 混淆 的 Windows PE 文件 加 载 器 ， 并 能 减少 和 混淆 攻击 者 在 受害 者 终端 上 留 下 的 一 些 日 志 记录 
POWERSEAL Cit 开发 的 Powershell 脚本 运行 器 ， 对 Windows 的 日 志 跟 踪 和 反 病 毒 扫描 服务 进行 内 存 patch， 以 
绕 过 检测 


会 表 3.8 攻击 越南 大 型 企业 的 恶意 软件 


奇 安信 威胁 情报 中 心 整理 了 2023 上 半年 公开 披露 的 东南 亚 地 区 APT 组 织 的 主要 攻击 活动 ， 如 下 表 所 示 。 


活动 描述 披露 时 间 披露 来 源 
Saaiwc Saaiwc 组 织 针对 东南 亚军 事 、 财 政 等 多 部 门 的 攻击 活动 分 2023-01-06 安 恒 
im 9? 
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活动 描述 披露 时 间 披露 来 源 
Saaiwc DarkPink 攻击 亚太 地 区 和 欧洲 99 2023-01-11 Group-IB 
Saaiwc Saaiwc 组 织 攻 击 马来西亚 、 印 度 尼 西亚 外 交 部 名 2023-02-13 安 恒 
Saaiwc Saaiwc 组 织 针对 印尼 政府 的 攻击 活动 分 析 2023-03-15 360 
Saaiwc DarkPink 组 织 针对 印度 尼 西 亚 外 交 部 门 和 菲律宾 军事 部 门 2023-03-20 安 天 


的 攻击 活动 向 
Saaiwc DarkPink 组 织 的 多 个 新 受害 者 (1 2023-05-31 Group-IB 


未 知 (疑似 海 莲 花 ) SPECTRALVIPER 恶意 软件 攻击 越南 大 型 企业 I9 2023-06-09 Elastic 


A. 表 3.92023 上 半年 东南 亚 地 区 APT 组 织 热点 攻击 活动 


o 
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南亚 地 区 的 组 织 与 行动 
out A ia 


根据 2023 上 半年 公开 报告 整理 结果 ， 活 跃 于 南亚 地 区 的 APT 组 织 依然 是 该 地 区 的 几 个 老牌 APT 组 织 ， 
即 透明 部 落 、 蔓 灵 伦 、 响 尾 蛇 和 摩 启 草 。 表 3.10 为 2023 上 半年 南亚 地 区 活跃 的 APT 组 织 简介 。 


南亚 APT 组 织 攻击 能 力 


ERE + 
肚 脑 虫 / Donot Team dt 
透明 部 落 /Transparent Tribe + 
SideCopy 十 
响尾蛇 /Sidewinder ++ 
摩 启 草 dud 
幼 象 /CNC 
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组 织 名 称 最 早 活动 时 间 公开 披露 时 间 


Exi 2013 2016 主要 针对 巴基斯坦 、 中 国 两 国 , 其 攻击 目标 为 政府 部 门 、 电 力 、 
FIAR T, EXEHSHXSUSGUEL H5EWF, Be 
在 关联 。 奇 安信 内 部 跟踪 编号 为 APT-Q-37 


肚 脑 虫 2016 2017 主要 针对 巴基斯坦 、 中 国 、 斯 里 兰 卡 等 南亚 地 区 国家 ， 对 政府 
机 构 、 国 防 军事 部 门 以 及 商务 领域 重要 人 士 实施 网 络 间谍 活动 。 
主要 使 用 yty 和 EHDevel 两 套 恶意 框架 。 奇 安信 内 部 跟踪 编 


号 为 APT-Q-38 
透明 部 落 2012 2016 主要 针对 印度 政府 、 军 队 或 相关 组 织 ， 以 及 巴基斯坦 的 激进 分 
(Transparent 子 和 民间 社会 ， 利 用 社会 工程 学 进行 鱼 叉 攻 击 ， 同 时 也 会 在 移 
Tribe) 动 端 发 起 攻击 
SideCopy 2019 2020 主要 针对 印度 、 巴 基 斯 坦 和 阿富汗 ， 以 政府 、 国 防 、 军 事 等 相 


关 组 织 人 员 为 目标 进行 网 络 间 谍 活 动 。 因 其 攻击 手法 主要 复制 
Sidewinder 及 其 他 APT 组 织 的 TTP 而 得 名 


响尾蛇 2012 2018 主要 针对 巴基斯坦 、 中 国 、 阿 富 汗 、 尼 泊 尔 、 和 孟加拉 等 国家 展 
(Sidewinden) 开 攻 击 ， 旨 在 窃取 政府 外 交 机 构 、 国 防 军 事 部 门 、 高 等 教育 机 


构 等 领域 的 机 密 信 息 。 常 使 用 已 知 漏洞 (CVE-2017-11882) 开 
展 攻击 活动 。 奇 安信 内 部 跟踪 编号 为 APT-Q-39 


摩 词 草 2009 2013 主要 针对 中 国 、 巴 基 斯 坦 等 亚洲 地 区 国家 ， 以 政府 、 军 事 、 
电力 、 工 业 、 外 交 和 经 济 等 领域 为 主 窃取 敏感 信息 。 具 备 
Windows. Android. macOS 三 平台 攻击 能 力 。 奇 安信 内 部 
跟踪 编号 为 APT-Q-36 


幼 象 2017 2019 GroupA21 最 早 由 国内 安全 公司 命名 ， 至 少 自 2017 年 开始 活 
(CNC, 动 ， 主 要 针对 南亚 地 区 各 国 开 展 网 络 间谍 活动 。 该 组 织 的 攻击 
GroupA21) 手法 与 印度 背景 的 Sidewinder 和 Bitter 组 织 存在 相似 之 处 ， 


但 在 攻击 细节 和 所 用 木马 方面 有 着 明显 的 区 别 


A “3.102023 上 半年 南亚 地 区 活跃 APT 组 织 


从 2023 年 上 半年 的 公开 报告 所 披露 的 活动 来 看 ， 南 亚 地 区 各 APT 组 织 活跃 度 较 往年 并 未 出 现 太 大 波动 ， 
蔓 灵 花 、 响 尾 蛇 、 摩 启 草 以 及 透明 部 落 一 直 处 于 高 度 活跃 的 状态 。 


肚 脑 虫 组 织 在 2023 年 发 起 多 次 针对 印度 克什米尔 地 区 的 攻击 ， 攻 击 中 使 用 的 恶意 样本 涉及 Windows 和 
Android 平台 。Windows 平台 上 的 样本 虽然 还 是 保持 着 一 贯 的 攻击 流程 ， 但 是 也 在 尝试 不 同 的 恶意 代码 
植 入 手段 ， 修 改 了 些许 攻击 组 件 的 代码 细节 。Android 平台 上 的 样本 多 数 伪装 成 聊天 应 用 程序 ， 但 并 不 
具备 正常 聊天 程序 的 功能 ， 样 本 代码 经 过 高 度 混淆 ， 亚 意 程序 运行 后 向 用 户 请 求 访问 权限 ， 取 得 权限 后 
上 传 联系 人 信息 、 通 话 记 录 、 地 理 位 置 等 信息 到 C2 服务 器 。 
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CNC 组 织 针对 国内 、 巴 基 斯 坦 、 菲 律 宾 、 印 度 尼 西亚 等 国家 的 教育 科研 机 构 发 起 攻击 。 该 组 织 投 递 的 恶 
意 软件 检测 感染 主机 是 否 接 入 新 的 驱动 器 ， 在 接 入 新 驱动 器 (如 U 盘 ) 后 将 自身 复制 过 去 进行 摆渡 攻击 。 
在 针对 国内 的 攻击 中 ，CNC 组 织 常 伪装 为 “YoudaoDictDesk.exe” 等 常用 软件 ， 并 使 用 伪造 的 国内 邮 
箱 创建 自 签 名 证 书 。 


透明 部 落 今 年 上 半年 依然 活跃 ， 攻 击 活动 多 针对 印度 和 巴基斯坦 公民 ， 通 过 简历 作为 诱饵 下 发 
CrimsonRAT 或 者 通过 钓鱼 网 站 传播 恶意 Android 应 用 。 


响尾蛇 APT 组 织 先 后 使 用 “2023 年 巴基斯坦 海军 学 院 ”、 “上 暗 网 敏感 数据 泄露 ”、 “公共 管理 学 院 工 
作 安排 调 整 通知 ”等 诱饵 发 起 了 针对 巴基斯坦 、 中 国 、 尼 泊 尔 、 斯 里 兰 卡 等 国家 的 攻击 ， 仍 通过 远程 模 
板 注 入 、CVE-2017-11882 漏洞 等 方式 下 载 后 续 载荷 。 


== 


人 花 组 织 伪装 为 吉尔 吉 斯 大 使 馆 发 起 了 多 次 针对 中 国 、 巴 基 斯 坦 等 国家 的 国防 、 能 源 部 门 的 攻击 ， 植 


ER 
入 恶意 软件 的 手法 依然 是 使 用 CHM 文件 或 Office 公式 编辑 器 漏洞 。 


摩 订 草 组 织 以 “先进 结构 与 复合 材料 等 4 个 重点 专项 2023 年 度 项 目 申 报 指 南 的 通知 ”、“ 长 江 设 
计 集 团 有 限 公 司 2023 年 度 招聘 公告 ”为 诱饵 针对 我 国 发 起 多 次 攻击 ， 频 繁 使 用 开源 或 商业 木马 如 
“NorthStarC2”、“Remcos” 等 。 


El 2023 年 3 月 起 ， 奇 安信 威胁 情报 中 心 捕获 了 一 批 与 SideCopy 组 织 有 关 的 攻击 样本 ，SideCopy 的 感 
染 链 与 之 前 的 攻击 活动 大 体 一 致 ， 以 恶意 LNK 文件 作为 攻击 入 口 ， 最 终 载 荷 使 用 了 新 的 木马 。 


Q 


Pq "Ë m cuc s 
HTA a HTA E 


AlllaKore 


诱饵 文件 DUser.dll 


A. E] 3.11 SideCopy 组 织 攻击 活动 执行 流程 ° 
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Mil Tele : 34891 IHOQ of MoD (Army) 

Adjutant General's Branch 
Addi Dte Gen MP/MP &(I of R) 
West Block-Ill, RK Puram 
New Delhi - 110 066 


20038/Appx J/Final/MP 8(I of R) 2.1 Dec 2022 


HQ Southern Command (A) 

HQ Eastern Command (A) 

HO Western Command (A) 

HQ Northern Command (A) 

HQ Central Command (A) 

HQ South Western Command (A) 

HQ Army Training Command (A) 

HQ Andaman and Nicobar Command (A) 
HQ Strategic Force Command (A) 

All Record Offices 


2 


4 Roc fices only. All Record Offices are requested to ensure the fwg for 
smooth impl of Risk & Hardship Alice -- 


(a) XML files of Part II Orders regarding cancellation of oki fd alces and 
new descnhpbons ie RISK & HAUCA should be thoroughly exam for its 
correctness before processing to PAO. 


(b) Few cases landing in debit bal on being acted upon revised Part II 
Orders were reported by regional controllers which ideally should not happen 
All such cases be exam by Record Offices in consultation with PAO to find 
Out exact cause of debits and corrective actions be initiated 


(c) Obtain details of discarded Part Il Orders from PAO (OR) and advise 
corrective action to concerned Unis/Fmn/Est. The same may pl be shared 
with this Dte also. 


(h) A proactive apch from all Record Offices is solicited for smooth imp! of 
Risk & Hardship Alices. 


5 This may please be disseminated to unit/fmn level. 
ADVISORY ON GRANT OF RISK & HARDSHIP ALLOWANCE 


JCOs & OR <i 
) 
1 Further to this Die letter even No dt 09 Nov 22 BY us aan) 
t 
2 It is intimated that there was a bug in HRMS Patch 12 rel in first week of Nov rapa 
22 due to which "from df is going blank in soft copies of Part Il Orders regarding Copy to - 


cancellation of old fd/CUHAA allces. Such Part Il Orders are being discarded by ud 


Dolphin Appl, further leading to rejections of new Part II Orders regarding RISK and 


Sr Jt CGDA (Army) 
HAUCA This bug has already been fixed in HRMS Parch 12.1 which is available à i For information please. 
on Army Portal for download. All units/ests are requested to take the following ASDC (HRMS) 
action ~ 
ACDA (IT & SDC) -~ Please accept Part I! Orders with one day gap in Cease 
(a) Install Patch 12.1 in HRMS Server forthwith and Grant (Refers to Para 3 above) as valid to avoid large 
(b) Part Il Orders already pub but not fwd to Record Offices or further to en TE S 
PAOs should be unsigned through superadmin ID and re-genr soft copies 
after instalng Patch 12.1 of HRMS and digitally signed Internal 
c) Discarded items of Part Il Orders ali 
( ute Bo ready processed by PAOs (OR) COAS DG MF E-in-C's Sect ADG AE 
VCOAS Sect DG Inf DGRVS ADG OL 
3. A review mtg on impl of Risk & Hardship Allces was org by office of CGDA on ataq hey eres Do yn Manas » nae 
19 Dec 22 and certain pub errors were highlighted by regional PCsDA/CsDA DCOAS reb PE Eee eie. x d rr 
Despite clearty mentioned in Para 2(b) of the ibid letter under ref, few units/est are AG Sect DG Mm Dte of Standardrsation ew Pres 
ceasing the erstwhile fd alices wef 21 Feb 19 (Paid for upto 20 Feb 19) and QMG Sectt DGST DG MI ADG TA 
granting new allces wef 22 Feb 19. Thus the affected indi loses one day alice ie for MGS Sect DG EME DRDO/DoP-Pers (AF) HQ DG AR 
21 Feb 19 as well as such Part I! Orders are being rejected by Dolphin Pgme MS Sect DG os ADG E (Pers), E-in-C's Br ADGPS 
ip users need to be educated/trained properly on correct and error free pub of 
art ll Orders. 


» 
L3 


3.12 SideCopy 组 织 发 送 的 诱 乌 示 例 P? 


下 表 总 结 了 上 述 南亚 地 区 APT 组 织 在 2023 上 半年 的 主要 攻击 活动 。 


活动 描述 披露 时 间 披露 机 构 
SideCopy SideCopy 组 织 最 新 攻击 武器 披露 的 2023/1/6 360 
CNC APT 组 织 “GroupA21” 借 政府 官方 文档 攻击 巴基斯坦 97 2023/1/11 微 步 在 线 
Ext APT 组 织 Bitter 网 络 间谍 攻击 活动 实例 分 析 “°! 2023/1/13 BE 
肚 脑 虫 APT-C-35 ( 肚 脑 虫 ) 组 织 近 期 攻击 活动 披露 UI 2023/2/7 360 
SRY ERİR 2023 年 初 攻 击 行动 与 新 组 件 揭秘 外 2023/2/9 深信 服 
透明 部 落 。 ”APT-C-56 (透明 部 落 ) 伪装 简历 攻击 活动 分 析 “° 2023/2/14 360 
SideCopy ”SideCopy 针对 印度 的 政府 机 构 分 发 后 门 ReverseRAT[ 2023/2/21 Dragon Threat 

Labs 

响尾蛇 “响尾蛇 ”近期 攻击 活动 披露 ， 瞄 准 国 内 高 校 展开 钓鱼 PU 2023/2/22 微 步 在 线 
SideCopy ”近期 APT 组 织 SideCopy 针对 印度 政府 的 钓鱼 攻击 活动 分 析 名 2023/2/25 绿 盟 


o 
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《后 > 奇 安 信 威 胁 情报 中 心 


披露 时 间 


披露 机 构 


透明 部 落 


透明 部 落 


SideCopy 
SideCopy 
Atiak 
ERE 
Et 
透明 部 落 
肚 脑 虫 
CNC 
透明 部 落 


摩 词 草 


SideCopy 


透明 部 落 


SideCopy 
响尾蛇 
SideCopy 
响尾蛇 
[EE 
[Ex 
[EE 


Eat 


透明 部 落 通 过 Android 消息 传递 应 用 程序 引诱 印 巴 官员 P? 


APT-C-56 (透明 部 落 ) 部 署 Android 系统 RImRat、Linux 系统 波 塞 冬 
新 型 组 件 披露 P^ 


SideCopy 组 织 近 期 以 印度 国防 部 相关 文档 为 诱饵 的 攻击 活动 分 析 中 
SideCopy APT 组 织 将 目光 投向 了 印度 的 DRDOP 
音 影 重重 : 肚 脑 虫 (Donot) 组 织 近期 攻击 手法 总 结 n 
葛 灵 花 针对 中 国 核能 行业 的 网 络 钓鱼 活动 中 
Bitter Group 传播 针对 中 国 机 构 的 CHM 恶意 软件 9? 
透明 部 落 攻 击 印度 教育 部 门 90! 
Donot APT 使 用 Android 恶意 软件 攻击 南亚 中 
疑似 CNC 组 织 最 新 攻击 动态 分 析 中 
揭露 APT-36 的 新 Linux 恶意 软件 活动 外 


Patchwork 组 织 更 新 技术 卷土重来 ， 针 对 境内 教育 科研 单位 再 次 发 起 攻 
击 行动 的 


SideCopy 组 织 使 用 新 木马 对 印度 展开 攻击 外 


透明 部 落 APT 在 针对 教育 机 构 的 目标 越 来 越 多 的 情况 下 积极 引诱 印度 
军队 外 


SideCopy 疑似 分 发 关于 印度 国家 军事 研究 机 构 的 钓鱼 邮件 57 
Sidewinder 组 织 针对 巴基斯坦 政府 的 最 新 活动 追踪 597 

SideCopy 伪装 注册 邀请 表格 进行 攻击 外 

Sidewinder 组 织 持续 攻击 中 国 和 巴基斯坦 实体 

白 象 组 织 使 用 BADNEWS 和 Remcos 商业 木马 的 最 新 攻击 活动 四 
对 开源 项 目 情 有 独 钟 的 Patchwork 组 织 中 

Patchwork 组 织 新 型 攻击 武器 报告 -EyeShell 武器 披露 9 


Bitter 组 织 新 攻击 武器 分 析 报 告 -ORPCBackdoor 武器 分 析 上 


A. 表 3.132023 上 半年 南亚 地 区 APT 组 织 热点 攻击 活动 


邮箱 : ti_support@qianxin.com ”电话 : 95015 


官网 : https://ti.qianxin.com 


2023/3/T 


2023/3/8 


2023/3/21 


2023/3/21 


2023/3/23 


2023/3/24 


2023/4/4 


2023/4/13 


2023/4/14 


2023/4/14 


2023/4/17 


2023/4/20 


2023/4/21 


2023/5/2 


2023/5/4 


2023/5/8 


2023/5/11 


2023/5/11 


2023/5/23 


2023/5/24 


2023/5/25 


2023/5/30 


Welivesecurity 


360 


奇 安信 
Cyble 

奇 安信 
Intezer 
AhnLab 
SentinelOne 
CYFIRMA 
深信 服 
Uptycs 


深信 服 


奇 安信 


Seqrite 


Fortinet 
BlackBerry 


360 


深信 服 
知道 创 宇 


知道 创 宇 
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东欧 地 区 的 组 织 与 行动 
Eastern Europe 


2023 上 半年 ， 东 欧 地 区 的 各 个 老牌 APT 组 织 依旧 活跃 。 除 了 乌克兰， 东欧 地 区 的 APT 组 织 还 把 目光 放 
在 其 他 国家 上 ， 展 开 了 不 间断 的 网 络 间谍 活动 。2023 上 半年 该 地 区 的 APT 组 织 发 起 的 攻击 多 为 鱼 叉 式 
钩 鱼 邮件 攻击 ， 表 3.14 73 2023 上 半年 东欧 地 区 活跃 的 APT 组 织 简介 。 


mv 


TL 


多 东欧 APT 组 织 
APT28 
APT29 十 十 十 
Turla 十 十 十 
Sandworm FEF 
Gamaredon + 
UAC-0056 + 
FIN7 + 
DustSquad Tt 

LS al 


《le%> 奇 安 信 威 胁 情报 中 心 


《后 > 奇 安 信 威 胁 情报 中 心 


最 早 活动 时 间 公开 披露 时 间 


APT28 2004 2014 APT28 组 织 历史 活动 非常 频繁 , 主要 针对 政府 、 军 事 和 安全 组 织 ， 
相关 攻击 覆盖 Windows. Linux. Mac. Android 和 i0S， 其 在 
2016 年 企图 干扰 美国 大 选 ， 在 2022 年 上 半年 被 披露 发 动 了 针对 
美国 国防 承包 商 的 攻击 ， 俄 乌 冲 突 中 多 次 向 乌克兰 投放 恶意 软件 


APT29 2008 2013 APT29 组 织 的 主要 目标 为 西亚 、 中 亚 、 东 非 和 中 东 的 政府 部 门 和 
机 构 。 其 被 认为 在 2015 年 夏季 攻击 了 美国 DNC， 近 年 来 不 断 针 
对 多 国外 交 机 构 发 起 攻击 


Turla 2007 2014 该 组 织 拥 有 非常 复杂 的 TTP， 其 受害 者 覆盖 超过 45 个 国家 ， 常 
针对 政府 、 大 使 馆 、 军 事 、 教 育 、 研 究 和 制药 公司 实施 鱼 叉 和 水 
坑 攻 击 

Sandworm 2009 2015 Sandworm 组 织 大 约 从 2009 年 开始 运营 ， 主 要 针对 与 能 源 、 工 


业 控 制 系统 、SCADA、 政 府 和 媒体 相关 领域 的 乌克兰 实体 ， 在 
2022 年 俄 马 冲突 中 策划 了 针对 乌克兰 电网 的 攻击 


Gamaredon 2013 2015 主要 针对 乌克兰 执法 部 门 、 政 府 机 构 和 军事 力量 进行 间谍 活动 和 
情报 收集 等 攻击 。Operation Armageddon 行动 与 该 组 织 有 关 ， 
2022 年 上 半年 频繁 向 乌克兰 发 起 网 络 钓鱼 攻击 


UAC-0056 2020 2022 又 名 Lorec53 (中 文 名 称 : 洛 瑞 熊 ) ， 该 组 织 最 早 的 攻击 活动 可 
以 追溯 到 2020 年 6 月 ， 主 要 以 乌克兰 、 格 鲁 吉 亚 为 目标 ， 其 攻 
击 活动 带 有 明显 的 政治 意图 


FIN7 OI 2017 FIN7 最 早 由 国外 安全 厂商 FireEye f£ 2017 年 3 月 份 命名 ， 其 攻 
击 活动 最 早 从 2015 年 开始 ， 针 对 美国 的 零售 、 和 餐饮、 酒店 业务 ， 
攻击 目标 还 包括 金融 服务 、 运 输 、 零 售 、 教 育 、 电 子 产品 等 领域 。 
该 组 织 经 常 使 用 商业 恶意 软件 。FIN7 有 时 被 称 为 CarBanak、 
Anunaks 


DustSquad 2014 2018 DustSquad 组 织 至 少 从 2014 年 开始 活动 ， 主 要 针对 中 亚 地 区 ， 
包括 地 方 政府 、 外 交 使 团 和 个 人 。DustSquad 主要 使 用 delphi 
编写 恶意 软件 。 


A 表 3.14 2023 上 半年 东欧 地 区 活跃 APT 组 织 
2023 上 半年 ， 东 欧 地 区 APT 组 织 主要 使 用 的 攻击 手段 仍然 是 鱼 叉 式 钓鱼 邮件 ， 不 过 这 些 组 织 所 采取 的 
攻击 方式 和 攻击 技术 也 在 不 断 改进 优化 。 


根据 开源 情报 披露 ，APT28 组 织 使 用 已 知 漏洞 在 思科 路 由 器 上 进行 侦察 和 部 署 恶 意 软件 ， 以 及 伪造 
Windows 更 新 攻击 乌克兰 政府 。 乌 克 兰 黑客 组 织 Cyber Resistance 还 曝光 了 APT28 组 织 领 导 人 的 个 人 
信息 ， 包 括 但 不 限于 家 庭 住 址 和 个 人 信件 。 


Sandworm 在 2023 上 半年 频繁 使 用 文件 擦 除 器 攻击 马克 兰 政府 及 新 闻 机 构 ， 使 用 的 擦 除 类 恶意 软件 
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包括 但 不 限 CaddyWiper、ZeroWipe、SDelete、AwfulShred、BidSwipe， 攻 击 平台 涉及 Windows, 
Linux 及 FreeBSD 等 。 


APT29 组 织 曾 利用 波兰 大 使 访问 美国 的 机 会 瞄准 援助 乌克兰 的 欧盟 政府 进行 攻击 ， 并 且 使 用 Notion 的 
API 作为 C&C 信道 来 隐藏 自身 流量 及 C2 设施 。 该 组 织 除了 使 用 “iso”、“zip” 等 格式 的 文件 外 还 使 
用 “img” 后 缀 文件 投递 恶意 软件 。 


去 年 我 们 提 到 Gamaredon 的 武器 库 一 直 在 更 新 升级 ， 今 年 Gamaredon 暴露 的 Web 面板 揭示 了 他 们 
拥有 自动 化 的 鱼 叉 式 钓鱼 攻击 平台 ， 该 组 织 针对 乌克兰 、 拉 脱 维 亚 、 爱 沙 尼 亚 和 立陶宛 等 国家 发 起 了 多 
次 攻击 。 


奇 安信 威胁 情报 中 心 整 理 了 2023 上 半年 东欧 地 区 APT 组 织 热点 攻击 活动 ， 如 下 表 所 示 : 
活动 描述 披露 时 间 披露 机 构 
Turla Turla 通过 Andromeda 恶意 软件 攻击 乌克兰 M 2023/1/5 mandiant 
Gamaredon Gamaredon 使 用 Telegram 攻击 乌克兰 组 织 5 2023/1/19 BlackBerry 
Sandworm Sandworm 组 织 借助 5 种 擦 除 器 攻击 乌克兰 新 闻 机 构 2023/1/27 CERT-UA 
Sandworm Sandworm APT 使 用 新 的 SwiftSlicer 擦 除 器 瞄准 乌克兰 9 2023/1/28 securityaffairs 
Gamaredon 拉脱维亚 国防 部 遭 到 黑客 团伙 Gamaredon 的 钓鱼 攻击 "9 2023/1/28 ^ Recorded 
Future 
Gamaredon Gamaredon 组 织 针对 乌克兰 当局 开展 间谍 活动 四 2023/2/1 CERT-UA 
UAC-0056 Graphiron: 针对 乌克兰 部 署 的 新 型 信息 窃取 恶意 软件 PU 2023/2/8 Symantec 
Gamaredon Gamaredon 利用 Hoaxshell 攻击 乌克兰 组 织 中 2023/2/15 medium 
APT29 APT29 利用 Notion API 瞄准 欧盟 委员 会 进行 攻击 97 2023/3/10 ^ medium 
Gamaredon 分 析 Gamaredon 针对 乌克兰 的 攻击 行动 9 2023/3/13 ThreatMon 
APT29 NOBELIUM 利用 波兰 大 使 访问 美国 的 机 会 瞄准 援助 乌克兰 的 欧盟 政 2023/3/14 X BlackBerry 
gg te 
APT28 黑客 组 织 APT 28 的 领导 人 被 黑 9 2023/4/10 | Context 
Information 
Security 
APT29 东欧 APT 组 织 的 间谍 活动 r 2023/4/13 GovCERT 
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活动 描述 披露 时 间 披露 机 构 
FIN7 Ex-Conti 与 FIN7 的 新 Domino 后 门 合作 9 2023/4/14 IBM 
Gamaredon Web 面板 揭示 了 Gamaredon Group 的 自动 鱼 又 式 网 络 钓鱼 活动 多 2023/4/17 EclecticlQ 
APT28 APT28 利用 已 知 漏洞 在 思科 路 由 器 上 进行 侦察 和 部 署 恶意 软件 50 2023/4/18 CISA 
Turla 分 析 Tomiris 与 Turla 的 联系 P? 2023/4/24 Kaspersky 
APT29 APT29 近期 利用 CobaltStrike 开展 攻击 活动 2 2023/4/25 viewintech 
FIN7 在 针对 Veeam 备份 服务 器 的 攻击 中 发 现 FINT tradecraft?? 2023/4/26 withsecure 
DustSquad Nomadic Octopus 在 塔吉克 斯 坦 新 的 监视 活动 中 2023/4/28 prodaft 
APT28 APT28 使 用 伪造 的 “Windows 更 新 ”指南 来 攻击 乌克兰 政府 l 2023/4/28 CERT-UA 
Sandworm 疑似 Sandworm 使 用 WinRAR 擦 除 乌克兰 国家 机 构 的 数据 P9 2023/4/29 CERT-UA 
Sandworm 泄露 的 NTC Vulkan 文件 中 披露 的 信息 可 能 与 Sandworm 有 关 °” 2023/5/25 ^ trustwave 


A 3& 3.15 2023 上 半年 东欧 地 区 APT 组 织 热点 攻击 活动 
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中 东 地 区 的 组 织 与 行动 
Middle East 


国 对 地 缘 资本 、 经 济 利益 和 权力 地 位 的 争夺 导致 了 情报 监控 和 网 络 攻 击 活 动 的 频 发 ， 众 多 APT 组 织 牵涉 
其 中 。 


多 让 东 APT 组 织 


攻击 能 
PROMETHIUM 十 十 
双 尾 蝎 + 
MuddyWater + 
APT34 TE 
APT35 ++ 


Agrius + j| 
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该 地 区 的 APT 组 织 常 利用 网 络 钓鱼 等 社会 工程 学 手段 和 其 他 攻击 技术 ， 针 对 政府 机 构 、 商 业 企业 、 学 术 
机 构 和 关键 基础 设施 发 起 网 络 攻击 ， 以 穷 取 敏感 数据 和 机 密 信 息 。 表 3.16 为 2023 上 半年 度 活跃 的 APT 
组 织 。 


最 早 活动 时 间 公开 披露 时 间 


PROMETHIUM 2012 2016 PROMETHIUM 组 织 拥有 复杂 的 模块 化 攻击 武器 库 与 丰富 的 网 络 
资源 ， 具 备 0day 漏洞 作战 能 力 ， 拥 有 Windows. Android XX 
平台 攻击 武器 

双 尾 蝎 2011 2015 双 尾 蝎 组 织 攻击 范围 主要 为 中 东 地 区 ， 攻 击 武器 针对 Windows 


和 Android 双 平台 ， 采 取 鱼 叉 邮 件 或 水 坑 网 站 等 攻击 方式 配合 
社会 工程 学 手段 进行 渗透 ， 向 政府 、 金 融 、 媒 体 、 能 源 、 军 事 
等 特定 目标 人 群发 起 攻击 


MuddyWater 2017 2017 主要 针对 中 东 实 施 网 络 间谍 活动 ， 也 针对 欧洲 和 北美 国家 。 其 
攻击 目标 包括 电信 、 政 府 (IT 服务 ) 和 石油 部 门 。 主 要 使 用 基于 
Powershell 的 初始 阶段 后 门 ， 也 被 称 为 POWERSTATS 


APT34 2014 2016 APT34 主要 针对 中 东 地 区 实施 攻击 , 攻击 目标 包括 金融 、 政 府 、 
能 源 、 化 工 和 电信 等 行业 。 


APT35 2014 2018 APT35 是 FireEye 于 2018 年 披露 的 APT 组 织 ， 也 被 称 为 
Newscaster Team。 该 组 织 通常 针对 美国 和 中 东 的 军事 、 外 交 
和 政府 人 员 、 媒 体 组 织 、 能 源 和 国防 工业 基地 (DIB) 以 及 工程 、 
商业 服务 和 电信 部 门 进 行 攻击 活动 。 


Agrius 2019 2020 Agrius 组 织 由 国外 网 络 安全 公司 SentinelOne 发 现 并 命名 的 
APT 组 织 ， 通 过 使 用 恶意 软件 对 受害 者 系统 数据 进行 恶意 抹 除 
进行 攻击 ， 并 且 伪 装 为 勒索 攻击 掩盖 其 攻击 行为 。 


A. 表 3.16 2023 上 半年 中 东 地 区 活跃 APT 组 织 


APT 组 织 攻击 从 未 静 详 ， 也 从 未 消失 ， 总 是 将 自己 隐藏 在 隐秘 的 角落 给 攻击 目标 致命 一 击 。 在 新 老 技术 
不 断交 蔡 的 背景 下 ， 攻 击 和 对 抗 呈 螺 旋 上 升 的 趋势 。 在 中 东 地 区 的 上 半年 APT 组 织 的 活动 中 ， 可 以 观察 
到 各 大 APT 组 织 一 直 在 努力 更 新 自己 的 武器 库 。 


过 对 中 东 地 区 各 APT 组 织 的 长 期 追踪 ， 我 们 发 现 ok it 组 织 依然 保持 着 极 高 的 活跃 度 。 在 
2023 年 上 半年 ， 该 组 织 频 繁 发 动 攻击 ， 并 对 其 武器 库 进行 了 改进 。 在 针对 以 色 列 的 活动 中 ， 他 们 传播 了 
带 有 反 以 色 列 内 容 的 虚假 信息 。 此 外 ， 他 们 还 利用 了 Log4j 漏洞 ， 并 部 署 了 包括 最 近 使 用 的 SyncroRAT 
在 内 的 多 种 RAT 工具 。 这 表明 该 组 织 不 断 发 展 其 武器 库 ， 试 图 将 网 络 间谍 活动 的 利益 最 大 化 。 


网 络 空间 中 的 安全 威胁 越 来 越 复杂 和 多 样 化 ， 而 来 自 APT 组 织 的 威胁 更 是 手段 频 出 。PROMETHIUM 组 
织 通 过 模仿 Shagle 服务 的 仿冒 网 站 分 发 带 有 StrongPity 后 门 的 移动 端 应 用 程序 。 该 应 用 程序 是 开源 
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Telegram 应 用 程序 的 修改 版 本 , 加 入 StrongPity 后 门 代码 重新 打包 , 通过 11 个 动态 触发 模块 完成 短信 人、 
通话 记录 、 联 系 人 等 敏感 信息 收集 和 通话 内 容 记录 等 监控 操作 。 


此 外 ， 像 双 尾 蝎 、APT34、APT35 等 APT 组 织 仍然 在 中 东 地 区 活跃 ， 并 不 断 创新 其 攻击 方式 和 武器 库 。 
它们 通 
手段 进行 攻击 。 根 据 公开 情报 ， 我 们 整理 了 中 东 地 区 2023 年 上 半年 的 主要 攻击 活动 ， 具 体内 容 如 下 表 


所 示 : 


活动 描述 披露 时 间 披露 机 构 
MuddyWater 暗 网 简介 : MuddyWater APT Group"? 2023/1/2 SOCRadar 
PROMETHIUM 针对 Android 用 户 的 StrongPity 间谍 活动 9? 2023/1/10 Welivesecurity 
APT34 新 的 APT34 恶意 软件 瞄准 中 东 000 2023/2/2 Trendmicro 
MuddyWater MuddyWater 对 以 色 列 进行 网 络 攻击 ao 2023/3/9 以 色 列国 家 安全 局 
双 尾 蝎 APT-C-23 ( 双 尾 蝎 ) 组 织 最 新 攻击 活动 分 析 ` 2023/3/30 360 
双 尾 蝎 Mantis: 用 于 攻击 巴勒斯坦 目标 的 新 工具 09 2023/4/4 Symantec 
MuddyWater MERCURY 和 DEV-1084: 对 混合 环境 的 破坏 性 攻击 0071 2023/4/7 Microsoft 
APT35 Mint Sandstorm 改进 贸易 技术 以 攻击 高 价值 目标 "9 2023/4/18 Microsoft 
MuddyWater 跟踪 MuddyWater 的 基础 设施 pg 2023/4/18 Group-IB 
APT35 APT35 通过 改进 的 工具 库 瞄 准 以 色 列 007 2023/4/25 CheckPoint 
APT35 深入 了 解 APT35 的 最 新 恶意 软件 009 2023/4/26 Bitdefender 
MuddyWater APT 组 织 MuddyWater 攻击 活动 no9 2023/5/2 Welivesecurity 
Agrius AGRIUS 在 针对 以 色 列 组 织 的 攻击 中 部 署 MONEYBIRDU? 2023/5/24 CheckPoint 


A. X 3.17 2023 上 半年 中 东 地 区 APT 组 织 热点 攻击 活动 


其 他 地 区 的 组 织 与 行动 
Other areas in World 


2023 年 上 半年 全 球 安 全 厂商 披露 了 多 个 具有 高 级 攻击 技术 、 并 在 本 年 度 持续 活跃 的 APT 组 织 ， 其 中 包 
括 持 续 活动 了 四 年 但 直到 今年 才 被 披露 的 GoldenJackal 间谍 活动 组 织 ， 以 及 非常 活跃 且 频 繁 更 新 组 件 
的 老牌 APT 组 织 TA505， 奇 安信 威胁 情报 中 心 整理 上 述 组 织 的 相关 简介 ， 如 表 3.18 所 示 。 


39 i+})K o)oF gy" 15k 2023 年 中 报告 


《后 > 奇 安信 威胁 情报 中 心 


最 早 活动 时 间 公开 披露 时 间 


NewsPenguin 2023 2023 该 组 织 主 要 针对 巴基斯坦 ， 以 制造 军事 技术 的 公司 、 民 族 国家 
和 军队 为 首要 目标 1121, 


OilAlpha 2022 2023 该 组 织 是 一 个 针对 政治 代表 、 媒 体 和 记者 从 事 间 谍 活 动 的 威胁 
活动 组 织 ， 主 要 针对 阿拉 伯 半 岛 地 区 的 Android 用 户 ， 攻 击 者 
几乎 完全 依赖 与 也 门 国 有 企业 公共 电信 公司 (PTC) 相关 的 基础 


设施 pon 


GoldenJackal 2019 2023 该 组 织 自 2019 年 开始 活跃 ， 通 常 针 对 中 东 和 南亚 的 政府 和 外 交 
机 构 ， 根 据 工具 集 和 攻击 者 的 行为 ， 研 究 人 员 认 为 该 组 织 的 主 
要 动机 是 间谍 活动 上 9。 


UCID902 2021 2023 该 组 织 和 威胁 组 织 “Kimsuky” 在 TTP、 动 机 和 作案 手法 方面 
有 很 多 重 又 之 处 "1。 


A. 表 3.182023 上 半年 其 他 地 区 活跃 APT 组 织 


GoldenJackal APT 组 织 主要 使 用 .NET 开发 的 恶意 软件 ， 包 括 JackalControl、JackalWorm、 
JackalSteal、JackalPerlnfo 和 JackalScreenWatcher 等 工具 ， 并 且 具 备 漏洞 利用 能 力 。 在 Follina 漏 
洞 公开 披露 两 天 后 ， 该 组 织 就 投放 了 一 批 名 为 “获得 国内 外 奖项 的 军官 图 库 .docx” 的 Follina 漏洞 诱饵 
文件 ， 旨 在 收集 有 关 巴 基 斯 坦 政府 授 勋 军官 的 信息 。 


Government of Pakistan 
Ministry of Foreign Affairs 
Islamabad 
No. O&M-1/1/2022 May 26,2022 


CIRCULAR. 
Subject: Gallery of Officers Who Have Received National and Foreign Awards 
The Ministry is in process of collecting data of FSP officers who have been decorated 


by Pakistan's government host government with awards and medals etc. for some outstanding 
achievements. 


2 In this regard, all those FSP officers who have been decorated by any national ot for- 
eign awards medals are requested to share such information latest by 01 June, 2022 on pre- 


scribed proforma along with a high definition of the award medal. Information 
may also be shared on following email address 


Network Administrator 
Distribution: 
i Al Sections ofthe Ministry 
ï AN Pakistan Missions abroad 


A. 图 3.19 Follina 漏洞 诱饵 文件 A 
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OilAlpha 是 一 个 针对 政治 代表 、 媒 体 和 记者 从 事 间 谍 活 动 的 威胁 活动 组 织 ， 主 要 目标 是 使 用 Android iz 
备 并 讲 阿拉 伯 语 的 人 ， 其 使 用 了 SpyNote 和 SpyMax 等 Android 平台 RAT, 该 组 织 攻 击 活动 最 早 是 在 
2022 年 4 月 14 日 ， 其 以 “安全 带 部 队 的 公报 ”主题 相关 公报 为 诱饵 ， 使 用 沙特 阿拉 伯 区 域 的 电话 号 码 
通过 WhatsApp 社交 软件 传播 SpyNote 木马 的 APK 文件 。 


+966 59 022 6535 3s 


== : 4í Program for th..constructio of Yeen — 

^. Laga gapis alo osa sjah samo a 
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¿aJ daas ô elal gò labl ol cua 
¿all alad! cs55igN vss adll jlacls 
Yes ila apas pi al aglas sa laSg cua 

ER o iaga Ug! aan 5355 ¿s.l 

aal £ 9o ð clau) als gll 35/55 
ll ee yasasi qz) 35.9 gaal Jlacls 
£332]! le Wb Sia cue y lg slay 
82595 Ja 99 ilg &alajl ul ols ye 

É gilla Ma zby iaasa lal 
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EUN 
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D sa Jal Laslo 


p 2:59 


SDPRY signed.apk 5 


5322 Hi 3a», how are you! 


(4) YEMENOFKSAapk f 


ve 3:22 APK * coss 815 


e 2:59 APK * sls 787 


2022 -wp 18 N 
ss 


392.4] malia sn |Ë 


APK * =ubsks 820 


qÈ bau LETT PRE 
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lel ile Jya gharus Lalo 
Balaa! 
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3.20 OilAlpha 利用 WhatsApp 传播 SpyNote 木马 的 APK xf M 


TA505 今年 利用 Google Ads 推广 他 们 托管 恶意 软件 的 虚假 网 站 ， 并 在 看 似 合法 的 安装 程序 中 说 
入 LOBSHOT 后 门 ， 整 个 感染 链 如 下 图 所 示 。 在 一 个 案例 中 ， 恶 意 广告 是 针对 合法 的 远程 桌面 软件 


AnyDesk; 
— 
Az User performs ——— o [sip Ads returns User clicks on ad ° 
Internet search for promoted result 
legitimate software š 
Masquerade landing page 
for software download 
<— — 
B ma Launches PowerShell User downloads and 
and downloads executes MSI installer 
POWERSHELL  LOBSHOT uu 
Executes LOBSHOT via rundil32 
Starts C2 communications to hardcoded IP 
E — 6 
LOBSHOT C2 SERVER 
> sehet [114 
A. 图 3.21 TA505 加 载 LOBSHOT 模块 的 感染 链 P771 
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Ad - https://www.amydecke.website/ 


AnyDesk: Fast Remote Desktop - Download Windows 


AnyDesk'h is ad-free and free for personal use. Whether you're in IT support. Which helps you 
access documents and files on any device across several locations. 


A. 图 3.22 TA505 投放 的 恶意 谷歌 广告 请 4 


NewsPenguin 是 一 个 以 前 不 为 人 知 的 攻击 团伙 ， 使 用 复杂 的 有 效 载荷 传递 机 制 瞄 准 巴 基 斯 坦 用 户 、 已 
基 斯 坦 国际 海事 博览 会 和 会 议 的 潜在 访客 ， 利 用 巴基斯坦 国际 海事 博览 会 和 会 议 (PIMEC-2023) 作为 网 
络 钓鱼 电子 邮件 诱饵 进行 攻击 。 


p 


Editing 


Clipboard Font Paragraph Styles 
° T m 
L SECURITY WARNING Macros have been disabled. | Enable Content 


” 


Pakistan Iférnational Maritime Expo & Conference 


Microsoft Office Warning Wizard x 


Microsoft Office 


Protected view warning g Office 


This copy of Microsoft office is protected Please click "Enable Editing" and "Enable 
Content" to view the document = 


Error Code: Ox4004F00C Pracy Statement 


Help 


EXHIBITOR MANUAL 


www.pimec.gov.pk 


Pageiofi07  8573words [| EH BIS E - L| 


A. 图 3.23 NewsPenguin 通过 鱼 叉 式 网 络 钓 鱼 技术 传播 的 恶意 诱 乌 文件 请” 
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UCID902 首次 被 观察 到 的 攻击 活动 是 在 2021 年 7 月 12 日 针对 韩国 激进 分 子 发 起 的 下 在 窃取 网 络 登 录 
凭据 的 钓鱼 活动 。 这 些 诱 饵 以 Naver 安全 警报 的 形式 出 现 ， 提 示 用 户 输入 凭据 。 攻 击 者 使 用 水 坑 攻 击 ， 
通过 攻陷 韩国 境内 合法 组 织 的 网 站 来 托管 网 络 钓鱼 页 面 。 


° oOo NUR 
° a Compromise hosting company 
(C 
UCID902 
ing W$ 
Credential harvesting ^. Compromise webserver 
Host phish kit 
Conduct spear-phishing 


A. 图 3.24 UCID902 的 凭据 窃取 水 坑 攻 击 模式 7 


活动 描述 披露 时 间 披露 机 构 


Kasablanka Kasablanka 组 织 针对 俄罗斯 联邦 政府 合作 署 、 俄 罗斯 阿 斯 特 2023/01/17 奇 安信 
拉 罕 州 对 外 通信 部 进行 活动 攻击 上。 


NewsPenguin 使 用 复杂 的 有 效 载荷 传递 机 制 瞄准 巴基斯坦 的 组 织 ， 利 用 巴 2023/02/09 blackberry 
基 斯 坦 国际 海事 博览 会 和 会 议 (PIMEC-2023) 作为 诱饵 来 欺骗 


受害 者 ni。 

Evilnum 使 用 英国 居民 的 护照 信息 作为 诱饵 文件 ， 内 部 包含 LNK 伪装 2023/03/23 安 恒 
的 PNG 图 像 诱导 用 户 点 击 执行 ， 实 现 后 续 下 载 js 插件 执行 功 
BEDS 

UCID902 APT 组 织 UCID902 针对 人 权 活 动 家 的 水 坑 凭 据 收集 活动 披露 2023/04/20 Interlab 
[117] 

TA505 通过 Google Ads 传播 的 hVNC 恶意 软件 家 族 LOBSHOT, Fi 2023/04/25 Elastic Security 
于 窃取 加 密 货币 钱包 079, Labs 

OilAlpha 使 用 沙特 阿拉 伯 电 话 号 码 通过 WhatsApp 传播 SpyNote 远 控 2023/05/16 CrowdsStrike 
APKPPI, 


GoldenJackal 利用 Follina 漏洞 攻击 巴基斯坦 政府 ， 虽 在 收集 有 关 巴 基 斯 坦 2023/05/23 Kaspersky 
政府 授 勋 军官 的 信息 1%。 


A. 表 3.25 2023 上 半年 其 它 地 区 APT 组 织 热点 攻击 活动 
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第 四 章 大 量 0day 漏 洞 被 用 于 APT 攻 击 


2023 {EF 0day 的 利用 情况 总 体 比 2022 上 半年 有 所 上 升 ， 漏 洞 数量 接近 30 个 左右 。 在 漏洞 涉及 产 
品 的 供应 厂商 中 ， 微 软 、 谷 歌 、 苹 果 御 三 家 的 地 位 依然 稳固 ， 但 是 相 较 往年 微软 、 谷 歌 势 强 ， 苹 果 势 
微 的 情况 ， 今 年 三 家 呈现 出 真正 意义 上 的 三 足见 立 。 以 浏览 器 为 攻击 向 量 依然 是 主流 趋势 ，Chrome、 
Safari 浏览 器 与 对 应 平台 Windows. macOS, iOS 下 的 提 权 逃逸 漏洞 占 所 有 漏洞 近 8 成 。 


CVE-2023-21674 Microsoft 否 未 知 Avast 

CVE-2023-23529 Apple 否 未 知 未 知 

CVE-2023-21823 Microsoft ES 未 知 Mandiant 

CVE-2023-21715 Microsoft 是 未 知 EXPMON 

CVE-2023-23376 Microsoft 否 未 知 Microsoft Threat Intelligence 


Center (MSTIC) & Microsoft 
Security Response Center 


(MSRC) 
CVE-2023-20963 Google E 未 知 Oversecured Inc 
CVE-2023-23397 Microsoft p APT28 CERT-UA, Microsoft Incident, 
Microsoft Threat Intelligence 
(MSTI) 
CVE-2023-24880 Microsoft 是 Magniber 勒索 Google's Threat Analysis Group 
Microsoft 
CVE-2023-21768 Microsoft x 未 知 未 知 
CVE-2023-0266 Google 否 未 知 Google Threat Analysis Group 
CVE-2023-26083 ARM 否 未 知 GoogleThreat Analysis Group 
CVE-2023-28206 Apple 是 未 知 Google Threat Analysis Group 
CVE-2023-28205 Apple 否 未 知 Google Threat Analysis Group 
CVE-2023-28252 Microsoft 是 Nokoyawa 勒索 Kaspersky, Mandiant, 安 恒 
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漏洞 编号 影响 目标 利用 代码 是 否 公开 利用 的 APT 组 织 

CVE-2023-2033 Google 否 未 知 Google Threat Analysis Group 
CVE-2023-2136 Google 否 未 知 Google Threat Analysis Group 
CVE-2023-21492 Samsung 否 未 知 Google Threat Analysis Group 
CVE-2023-28204 Apple 8 未 知 未 知 

CVE-2023-32373 Apple 否 未 知 未 知 

CVE-2023-32409 Apple 否 未 知 Google Threat Analysis Group 
CVE-2023-29336 Microsoft = 未 知 Avast 

CVE-2023-2868 Barracuda 是 UNC4841 Barracuda,Mandiant 
CVE-2023-3079 Google 否 未 知 Google Threat Analysis Group 
CVE-2023-32434 Apple E Operation Kaspersky 


Triangulation 


CVE-2023-32435 Apple E Operation Kaspersky 
Triangulation 


CVE-2023-32439 Apple ES Operation 未 知 
Triangulation 


A. 3 4.12023 上 半年 披露 的 高 危 漏 


同 


> 


. AHRR: Outlook 漏洞 CVE-2023-23397 


2023 年 4 月 ， 微 软 在 补丁 日 修复 了 存在 于 Outlook 中 的 一 个 等 级 为 严重 的 漏洞 CVE-2023-23397， 该 漏 
洞 被 微软 确认 已 存在 在 野 利用 。 攻 击 者 通过 发 送 带 有 特定 MAPI 属性 的 邮件 至 受害 者 Outlook 邮箱 ， 当 
受害 者 用 Outlook 打开 恶意 邮件 时 ， 将 自动 连接 该 属性 指定 的 由 攻击 者 控制 的 SMB 共享 服务 器 UNC 路 
径 ， 导 致 目标 受害 者 的 NTLM Hash 被 窃取 


奇 安信 威胁 情报 中 心 第 一 时 间 还 原 了 该 漏洞 ， 在 关联 的 过 程 中 发 现 了 大 量 新 的 可 疑 受 害 者 ， 并 确认 利 
用 该 漏洞 的 攻击 可 追溯 至 2022 年 3 月 。 我 们 发 现 早 期 用 于 攻击 邮件 发 送 的 都 是 VPS 服务器， 漏洞 触 
发 后 回 连 的 UNC 地 址 也 指向 同一 台 VPS， 但 在 2022 年 4 月 14 日 之 后 ， 所 有 的 攻击 C2 都 替换 成 了 
Ubiquiti-EdgeRouter 路 由 器 。 此 次 漏洞 攻击 目标 包含 乌克兰、 土耳其、 罗马 尼 亚 等 地 区 的 重要 组 织 机 构 。 
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ON RedDrip Team GRedDrip/ - 3H29H 
™ Analysis about currently disclosed email samples exploiting £Outlook 
&CVE-2023-23397 
- Related attack dates back to March 2022 
- Ubiquiti Ed&eRouter devices were used 
- Victims aren't limited to 4 Ukraine 


Check out the report for more details:ti.gianxin.com/blo£g/articles/... 


Attack IP IP Properties Equipment Information Related time Victims 
5.199.162[.]13-4453 Emal sending time 2022-03-18 
Uthuania ves State Migration Service of Ukraine 
SCurcescdn nes Sample upiosd time-2022-4-01 
T vpn Germany ws Before 2022-04-01 


gliobalnewsnewcom 


45.138.87[J250443 


Romana ves Before 2022.04.01 
ceriossi into 
Email sending time 2022-04-14 
101.285.11: Indonesa utquiti-EdaeRoutec Romanian Ministry of Fon Aftwrs 
m ees Sample upioad time2022-04-14 y zu 
Emal sending time 2022-09-29 Polish arma dealer PIT-RADOWAR SA 
13.32.252(.)221 " Ubquiti-Edsefoute 
an t — Sampie apioad time 2022-09-24 je-mail sent from Coastal! Bank, an Indian bank) 
168.205.200/.]55 Brar? Ubiquiti EdgeRoute: 
185.132. 17[]160 Sweden Ubiquiti-EdgeRouter 
$3.162.253[.)21 Usted States Ubiquiti Edaefouter 
Emad sending tme2022- 12-29 
113.160.224[)229 Vietnam Ubquiti-EdgeRouter edge ducts Pup x Turkish Delense Technology Company STM 
181.209.99/.)204 Argentina Utiuiti-EdgeRouter 
82.196.115[]102 Sweden Ubiquiti-EdgeRouter 
85.195.206]7 Switzerdand Ubqulti-EdgeRouter 
$1.1444(]35 Singepore Ubquiti-EdgeRouter 


Ọ t1 26 Q 42 lí 15 


| 一 


Z] 4.2 CVE-2023-23397 分 析 报告 Da 


» 
Di 


二 、 三 角 定 位 : 侵蚀 的 苹果 


2023 年 6 月 1 日 ， 卡 巴 斯 基 披露 了 Operation Triangulation 攻击 活动 7, JA 2019 年 开始 卡巴 斯 基 
内 部 重要 员工 的 iPhone 手机 就 遭 到 Oday 漏洞 的 攻击 ， 攻 击 目标 不 仅 限 于 卡巴 斯 基 ， 很 可 能 还 涉及 多 
个 国家 的 重点 公司 及 政府 部 门 。 攻 击 者 通过 发 送 一 条 带 有 恶意 附件 的 iMessage 信息 到 目标 设备 上 ， 在 
无 需 任 何 用 户 交互 的 情况 下 ， 利 用 该 条 消息 触发 代码 执行 漏洞 。 漏 洞 利用 所 执行 的 代码 会 从 远程 服务 器 
上 下 载 后 续 阶段 的 Payload ,其 中 包含 了 用 于 提 权 的 额外 利用 代码 ,并 最 终 部 署 一 个 功能 齐全 的 木马 平台 ， 
最 后 会 删除 最 初 触发 漏洞 利用 的 漏洞 消息 。 


奇 安信 威胁 情报 中 心 第 一 时 间 跟 进 了 该 事件 ， 并 通过 奇 安信 内 部 数据 确认 Operation Triangulation 7& 
动 同样 波及 了 国内 多 个 重点 单位 的 相关 人 员 。 
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&| 4.3 Operation Triangulation"? 


三 、 潜 入 深渊 的 梭 子 鱼 : CVE-2023-2868 


Barracuda Networks F 2023 年 5 月 30 日 发 布 通 告 , 称 旗下 ESG(Email Security Gateway) 设备 中 存 
TE Oday 漏洞 CVE-2023-2868 并 已 被 利用 ， 该 漏洞 是 ESG 对 tar 文件 过 滤 不 严 导 致 的 远程 命令 执行 漏洞 。 
利用 该 漏洞 的 攻击 最 早 发 生 于 2022 年 10 月 ， 攻 击 者 通过 漏洞 获取 目标 设备 的 代码 执行 权限 后 ， 下 发 
SEASPY/SALTWATER 木马 。 


值得 注意 的 是 ，Barracuda Networks 在 通告 发 布 7 天 后 ， 即 2023 年 6 月 6 日 更 新 了 通告 内 容 ， 指 出 
无 论 是 否 安装 了 漏洞 补丁 ， 受 影响 的 ESG 设备 都 需要 立即 更 换 。 背 后 的 原因 为 攻击 者 在 事件 披露 后 迅速 
地 对 常 驻 木马 进行 了 更 新 调整 ， 增 加 了 其 他 持久 化 机 制 以 试图 维持 访问 。 


Barracuda Email Security Gateway 
Appliance (ESG) Vulnerability 


JUNE 6'^, 2023: 


ACTION NOTICE: Impacted ESG appliances must be immediately replaced regardless of 
patch version Tevel. ]f you have not replaced your appliance after receiving notice in your UI, 


contact support now (support&barracuda.com). 


Barracuda's remediation recommendation at this time is full replacement of the impacted 
ESG. 


Z] 4.4 Barracuda Networks 漏洞 通告 "2 
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四 、 看 齐 APT 组 织 : 使 用 Oday 漏洞 的 勒索 团伙 


勒索 团伙 大 多 数 情况 下 以 经 济 勒 索 为 目的 ， 本 身 对 0day 漏洞 的 需求 不 大 ， 部 分 团伙 可 能 会 为 获取 
System 权限 内 置 一 些 Nday 提 权 漏洞 ， 或 在 传播 时 使 用 类 似 永恒 之 蓝 的 Nday 漏洞 。 但 是 从 2022 年 底 
开始 ， 勒 索 团 伙 的 攻击 中 不 断 出 现 0day 漏洞 。 


最 早 为 2022 年 底 的 CVE-2022-44698， 该 漏洞 允许 攻击 者 使 用 一 个 错误 格式 的 JS 认证 签名 绕 过 
SmartScreen ££ 8; €, Magniber 勒索 团伙 通过 该 漏洞 下 发 后 续 的 勒索 软件 。 


2023 年 3 H, Google TAG 再 次 捕获 到 了 Magniber 勒索 团伙 的 0day 攻击 ， 这 次 攻击 使 用 了 0day 
CVE-2023-24880， 该 漏洞 和 CVE-2022-44698 类 似 ， 通 过 一 个 错误 格式 的 MSI 认证 签名 来 绕 过 


SmartScreen 安全 告警 。 


2023 年 4 月 ， 卡 巴 斯 基 披露 了 Nokoyawa 团伙 的 Oday 攻击 事件 ， 攻 击 中 使 用 了 0day CVE-2023- 
28252， 该 漏洞 为 Windows 系统 CLFS 组 件 中 的 一 处 越界 写 入 漏洞 ， 成 功利 用 后 将 导致 权限 提升 。 


随 着 攻防 双方 的 不 断 对 抗 ， 如 今 勒 索 团伙 也 逐渐 加 入 0day 的 军备 竞赛 ， 而 作为 以 经 济 利益 为 导向 的 犯 


罪 团 伙 ， 他 们 可 和 任 借 氛 取 的 丰厚 不 义 之 财 来 维系 其 源源 不 断 的 0day 供应 ， 下 半年 我 们 可 能 会 看 到 更 多 
Oday 利用 出 现在 勒索 团伙 的 攻击 中 。 
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附录 1 全 球 主要 APT 组 织 列 表 


摩 词 草 
别名 :Patchwork、 白 象 


摩 启 草 最 早 由 Norman 


安全 公司 曝光 , 是 一 个 ， 


来 自 于 南亚 地 区 的 境 


外 APT 组 织 ,主要 针对 | 
中 国 、 巴 基 斯 坦 等 亚洲 ， 
地 区 国家 进行 网 络 间 | 
恋 活动 ， 以 窃取 敏感 信 | 


息 为 主 。 


2013 © 


i 


Lazarus Group 
别名 :Hidden Cobra 


Lazarus Group 最 早 的 
攻击 活动 可 以 追溯 到 
2009 年 ， 包 括 针对 韩国 
的 DarkSeoul、2014 年 
攻击 SONY 事件 、2017 
年 的 WannaCry 事件 。 


近 几 年 来, 该 组 织 的 活动 | 


主要 针对 全 球 金融 、 银行 


及 加 密 货币 交易 相关 的 ， 


目标 。 


APT29 
别名 :Cozy Bear. Cozy Duke 


APT29 最 早 攻击 活动 至 
少 可 以 追溯 到 2008 Fo 
该 组 织 被 认为 从 2015 
年 夏季 就 攻击 了 美国 
DNC。 其 主要 目的 为 情 
报 收集 ,并 用 于 支持 对 外 
安全 决策 , 主要 针对 西方 
政府 和 相关 组 织 。 


_ 美国 。 


e | 


Molerats 
别名 :Gaza cybergang 


Molerats 是 一 个 出 于 政 
治 动机 的 威胁 组 织 , 攻击 
目标 主要 是 中 东 、 欧 洲 和 


i 


Kimsuky 
别名 :Thallium 


Kimsuky 至 少 从 2013 
年 9 月 开始 活跃 。 该 组 织 
针对 韩国 智囊 团 以 及 与 
朝 核 相 关 的 目标 开展 攻 
击 活动 ， 曾 被 认为 与 
2014 年 韩国 水 电 与 核电 
公 司 (Korea Hydro 
&Nuclear Power Co.) 


被 攻击 事件 有 关 。 


£ 奇 安信 披露 的 APT 团 伙 
奇 安信 持续 跟踪 的 主要 APT 团 伙 
针对 中 国境 内 有 攻击 行为 的 APT 团 伙 


Sandworm 
别名 :BlackEnergy 


Sandworm 是 网 络 间 | 


谍 组 织 , 主要 针对 能 源 、 
工业 控制 系统 、 
SCADA、 政 府 和 媒体 相 
关 的 乌克兰 实体 开展 攻 
击 活 动 ;该 组 织 与 
2015 年 底 的 乌克兰 能 


源 部 门 袭击 事件 有 关 。 


APT28 
别名 :Sednit、Fancy Bear 


APT28 历史 攻击 活动 
非常 频繁 ， 主 要 开展 网 
络 间谍 活动 ; 该 组 织 
认为 和 2016 年 美国 
DNC 被 攻击 及 干扰 美 
国 大 选 事件 有 关 。 


2014 ° 


-i l E 


Darkhotel 
别名 :DUBNIUM 


Darkhotel 是 卡巴 披露 
的 APT 团伙 , 其 早期 针 
对 高 级 酒店 网 络 实施 攻 
击 活动 ， 主 要 使 用 的 攻 
击 手法 为 鱼 叉 邮件 攻 
击 , 后 续 常见 其 结合 
Flash 0day 漏洞 实施 
诱导 文档 攻击 ， 并 且 分 
为 两 阶段 实施 攻击 过 


程 。 


EI Machete 
别名 :machete 


| El Machete 疑似 为 一 
个 熟悉 西班牙 语 并 活跃 
在 拉美 地 区 的 APT 组 
织 ， 其 攻击 目标 主要 针 
对 拉美 国家 的 政府 实 
fk. ik 组 织 使 用 
Python 编译 的 可 执行 
文件 并 结合 色情 图 片 进 
行 诱导 攻击 。 


Energetic Bear 
别名 :Dragonfly 


Energetic Bear 疑似 网 

络 间谍 组 织 , 其 攻击 对 象 

最 初 主要 针对 国防 和 航 

空 公司 ,但 在 2013 年 初 ， 

其 攻击 目标 转移 到 能 源 、 
工控 领域 。 


N 2a 
3355. cté 


别名 : PoisonVine 

zd E e BN 
报 中 心 披露 的 APT 组 织 ， 
其 最 早 攻击 活动 可 追溯 
到 2007 年 ; 该 组 织 主要 
针对 国内 政府 、 军 事 、 国 
防 、 科 研 等 机 构 , 使 用 鱼 
叉 邮 件 攻击 和 水 坑 攻 击 
等 手段 来 实施 APT 攻击 。 


Turla 
别名 :Turla Group、Snake 


Turla 拥有 非常 复杂 的 
TTP， 主 要 实施 网 络 间 
谍 活 动 ， 其 前 身 可 能 和 
| Moonlight Maze 有 
关 。 最 早 的 活动 可 以 追 
溯 到 2007 年 ， 攻 击 目 
标 包 括 政府 机 构 , 使 馆 ， 
教育 ， 研 究 和 制药 公司 
等 5 


| 


Inception 
Framework 


别名 :Cloud Atlas. 
RedOctober 


Inception Framework | 
是 一 个 持续 多 年 的 APT 
组 织 , 最 初 攻击 目标 主要 
是 俄罗斯 和 东欧 地 区 ,后 
续 延 伸 至 全 球 , 主要 针对 
金融 、 能源、 外 交 等 领域 
开展 攻击 活动 。 该 组 织 
擅长 利用 云 服 务 和 物 联 
网 隐藏 其 控制 基础 设 
施 ， 并 且 同 时 拥有 针对 
PC 和 移动 终端 的 攻击 
工具 。 卡 巴 曾 披 露 该 组 
织 与 RedOctober 行动 


| 有关。 


的 — 


CopyKittens 
别名 :Slayer Kitten 


copykittens 是 网 络 间谍 
组 织 , 其 攻击 活动 最 早 于 
2013 年 ， 攻 击 活动 主要 
针对 以 色 列 、 沙 特 阿 拉 
伯 、 土 耳 其 美国 、 约旦 和 
德国 等 目标 。 


方程 式 


别名 :Equation Group 


方程 式 是 一 个 拥有 全 平 
台 载 荷 攻 击 能 力 的 攻击 
组 织 , 被 认为 与 美国 国家 
安全 局 (NSA) 有 关 。 该 组 
织 使 用 多 种 RAT 工具 并 


掌握 多 个 0Day 漏洞 。 


2015 _° 


E 


生花 


2 :OceanLotus、APT32 


生花 是 奇 安 信和 威胁 情 
FP 心 披 露 的 APT 组 织 ， 
最 早 活动 可 追溯 至 
2 年 。 该 组 织 主要 使 
& Y XX c MKAA h 
EF AM Denis 木 
Cobalt Strike 等 攻击 
i, P= fx) n ELK 
海事 机 构 和 东南 亚 国 
开展 攻击 活动 。 


y E» 
(a * 


— ARERR 


金 眼 


4: GoldenEye, 
幽灵 


会 眼 是 奇 安信 威胁 情 
ph 心 披露 的 APT 组 织 ， 
要 针对 国内 证 券 相关 
上 实施 攻击 活动 。 


EE: 
别名 :BITTER 


墓 灵 花 针对 中 国 、 巴 基 斯 
坦 政府 等 相关 目标 实施 
APT 攻击 。 奇 安信 威胁 情 
报 中 心 后 续 发 现 该 组 织 使 
用 InPage 漏 洞 , 并 与 
Confucius 和 摩 词 草 存 在 


关联 。 


Group 123 
别名 :APT37、ScarCruft 


Group 123 是 网 络 间谍 
组 织 , 至 少 从 2012 EF 
始 活跃 , 该 组 织 早期 主要 
针对 韩国 ，2017 年 后 延 
伸 攻 击 目标 至 半岛 范围 ， 


| 包括 日 本 ,越南 和 中 东 。 


2016 ,© 


fal 


索 伦 之 眼 


别名 :Strider、 
ProjectSauron 


索 伦 之 眼 是 一 个 极为 复 
杂 的 网 络 间谍 组 织 , 至 少 
从 2011 年 开始 活跃 ， 其 
攻击 目标 包括 俄罗斯 、 中 
国 、 瑞 典 、 比 利 时 、 伊朗 和 


卢旺达 等 。 


APT34 
别名 :OilRig 


APT34 至 少 从 2014 年 
开始 针对 中 东 地 区 实施 
攻击 ,攻击 目标 包括 金 
融 、 政 府 、 能 源 、 化工 和 电 
信 等 行业 。 该 组 织 过 去 以 
APT34 和 OilRig 两 个 不 
同 的 名 称 被 分 别 进 行 追 
踪 分 析 。 


美人 鱼 
别名 :Infy group 


美人 鱼 行动 是 主要 针对 
欧盟 国家 政府 机 构 开 展 
的 持续 时 间 长 达 6 年 的 
网 络 间谍 活动 ， 已 经 证 
实 对 丹麦 外 交 部 实施 过 
攻击 活动 , 其 攻击 手法 主 
要 使 用 水 坑 攻击 。 


> 


E 


人 面 狮 
别名 :Sphinx 


人 面 狮 行动 是 奇 安 信 威 
胁 情报 中 心 披 圳 的 APT 
攻击 活动 , 它 是 活跃 在 中 
东 地 区 的 网 络 间谍 活动 ， 
主要 目标 可 能 涉及 到 埃 
及 和 以 色 列 等 国家 的 不 
同 组 织 , 目的 是 窃取 目标 
敏感 数据 信息 。 活 跃 时 间 
主要 集中 在 2014 年 6 月 
到 2015 年 11 月 期 间 ， 
该 组 织 主要 利用 社交 网 
络 进行 水 坑 攻 击 。 


MuddyWater 


别名 :TEMP.Zagros、 
Static Kitten 


MuddyWater 最 早 被 发 
现 于 2017 年 2 月 至 10 
月 期 间 ， 针 对 中 东 国 家 、 
印度 和 美国 实施 网 络 间 
谋 活动 ， 其 主要 使 用 的 
PowerShell 后 门 也 被 称 
73 POWERSTATS。 


Longhorn 
别名 :Lamberts 


Longhorn 疑似 为 国家 
情报 机 构 背 景 的 攻击 团 
伙 ， 至 少 从 2011 年 开始 
活动 , 该 团伙 使 用 了 多 种 
后 门 木马 结合 Oday jf 
洞 进行 攻击 。, 维基 解密 
于 2017 年 3 月 泄露 的 
Vault 7 项 目 资料 曝光 了 


其 内 部 的 网 络 武器 项 目 。 
2017 LO 
BlackTech 


别名 :Radio Panda 


BlackTech 疑似 网 络 间 
谍 组 织 , 主要 针对 东亚 地 
区 实施 APT 攻击 活动 ， 
攻击 目的 疑似 窃取 目标 
公司 的 技术 和 证 书 , 该 组 
织 常用 的 恶意 工具 也 被 
称 为 PLEAD。 


双 尾 蝎 
别名 :Big Bang 


双 尾 蝎 是 奇 安信 威胁 情 
报 中 心 披露 的 APT 组 织 ， 
曾 对 巴勒斯坦 教育 机 
构 、 军 事 机 构 实 施 APT 
攻击 , 攻击 范围 主要 为 中 
东 地 区 ,攻击 工具 包括 
Windows 和 Android 平 
台 , 主要 采取 鱼 叉 或 水 坑 
等 攻击 方式 配合 社会 工 
程 学 手段 进行 渗透 , 向 特 
定 目标 人 群 进行 攻击 。 后 
续 国外 安全 厂商 也 将 Big 
Bang 攻击 行动 与 双 尾 蝎 
联系 到 一 起 。 


2 " 
5, a 
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别名 :Donot 


肚 脑 虫 是 奇 安信 威胁 情 
报 中 心 披露 的 APT 组 织 ， 
活跃 在 南亚 地 区 , 主要 以 
巴基斯坦 为 攻击 目标 , 攻 
击 工具 主要 使 用 yty 和 
EHDevel 两 套 恶 意 软 件 
框架 ; 分 析 师 研究 发 现 
该 组 织 与 Hangover 和 
Patchwork 存在 联系 。 


APT33 
别名 :Elfin 


| APT33 是 FireEye 


的 APT 组 织 ， 攻 击 
包括 美国 、 沙特 阿拉 
韩国 , 主要 针对 航空 
源 领 域 实施 攻击 活 忆 


Charming Kitte 


别名 :Newscaster、 
Parastoo 


Charming Kitten [9 
间谍 组 织 ， 从 2014 
右 开始 活跃 , 主要 针 
事 学 术 研究 、 人 权 和 
的 个 人 目标 开展 攻 
动 。 该 组 织 在 TTP . 
MagicHound 组 织 
AIER, 


fs 


Gamaredon Gr 


别名 :SectorC08、 
Shuckworm 


Gamaredon Grou| 
少 从 2013 年 起 活跃 
攻击 过 乌克兰 政府 : 
人 员 。 该 团伙 的 攻击 
与 工具 不 断 演进 : 

去 严重 依赖 
off-the-shelf 工具 : 
73 BE X B E S # 
OPERATIO 
ARMA-GEDDON íF 


该 组 织 有 关 。 


披露 
目标 
伯 和 
和 能 
Jo 


Gorgon 

别名 :Gorgon Group 
Gorgon 的 历史 攻击 活动 
混合 了 网 络 犯罪 活动 和 
针对 性 的 网 络 攻击 活动 ， 
分 析 认 为 其 针对 性 网 络 
攻击 活动 与 C-Major 行 
动 .ProjectM 存在 联系 。 


黄金 鼠 


别名 :Goldmouse 


黄金 鼠 被 安全 厂商 证 实 
为 某 电子 网 军 背 景 的 
APT 组 织 , 同时 具备 
Windows 和 Android 平 
台 的 恶意 攻击 能 力 。 


别名 :BlueMushroom 


蓝 宝 菇 是 奇 安信 威胁 
情报 中 心 披露 的 APT 
组 织 , 主要 针对 国内 政 
府 、 军 工 、 科 研 、 金 融 等 
机 构 实 施 APT 活动 ， 
攻击 历史 主要 关注 核 
工业 和 科研 相关 技术 。 


DarkHydrus 
别名 :LazyMeerkat 


DarkHydrus 主要 针对 中 
东 的 政府 机 构 和 教育 机 
构 实施 攻击 ， 以 窃取 机 密 
为 主 ,并 且 大 量 利用 开源 
工具 和 自 定义 有 效 载 荷 
进行 攻击 。 


Sidewinder 
别名 :响尾蛇 


SideWinder 疑似 南亚 的 
APT 组 织 ， 曾 针对 巴 基 斯 
坦 进行 鱼 叉 式 钓 鱼 邮件 
攻击 。 


军刀 狮 
别名 :ZooPark 


军刀 狮 是 卡巴 披露 的 
一 个 针对 中 东 目 标 实 
施 APT 攻击 的 组 织 ， 

主要 通过 Telegram 和 
水 坑 攻 击 分 发 恶意 软件 ， 
该 组 织 也 重点 针对 库 尔 
德 人 目标 实施 攻击 活动 。 


别名 :APT-Q-90 


黄金 雕 的 大 部 分 攻击 行 
动 主要 是 针对 哈萨克 斯 
坦 国 境内 的 情报 收集 任 
务 ， 其 中 也 波及 了 我 国 
驻 哈萨克 斯 坦 境内 的 机 
构 和 人 员 ， 除 了 传统 的 
后 门 程序 ， 黄 金 雕 组 织 
还 s 购 了 Hack- 
ingTeam 和 NSO 的 商 
业 间 谍 软 件 。 


别名 :APT-Q-98 


盲 眼 座 是 奇 安信 威胁 
情报 中 心 披露 的 疑似 
南美 洲 地 区 的 APT 组 
织 , 从 2018 年 4 月 起 ， 
针对 哥伦比亚 政府 机 
构 和 大 型 公司 (金融 、 
石油 、 制 造 等 行业 ) 等 
实施 针对 性 攻击 活动 。 


虎 木 权 


别名 :APT-Q-11 


虎 木 樟 疑 似 来 自 东 北 亚 
的 APT 组 织 , 使 用 的 恶 
意 代 码 有 着 很 强 的 隐蔽 
性 ， 且 具备 0day 漏洞 
发 掘 利用 能 力 ， 曾 通过 
浏览 器 漏洞 攻击 国内 重 
点 单位 。 


别名 :APT-Q-67 


拍 拍 能 是 一 个 针对 某 武 
装 组 织 进行 持续 攻击 的 
APT 组 织 , 同时 拥有 针对 
Windows 和 Android 
的 攻击 平台 。 


信 | <P St 


ES 
别名 :SilencerLion 


诺 崇 狮 是 奇 安信 威胁 情 
报 中 心 披露 的 组 织 ， 活 
跃 在 中 东 地 区 ， 一 直 持 
续 针 对 阿拉 伯 语 用 户 、 
什 叶 派 及 评论 人 士 展开 
攻击 ， 旨 在 让 被 攻击 者 
的 社交 平台 账号 变 成 
“沉默 账号 ”。 


O ARERR — 
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别名 :Confucius 


EFM EA = fŠ FEE Bh |ë 
报 中 心 披露 的 组 织 , 活跃 
在 南亚 地 区 , 一 直 持 续 针 
对 中 国 、 巴 基 斯 坦 的 国 
防 、 军 工 、 外 交 等 单位 进 
行 攻击 , 擅长 制造 钓鱼 网 
站 并 配合 钓鱼 邮件 进行 
攻击 , 散布 的 恶意 软件 主 
要 针 对 Windows 和 


Android 平台 。 


PE 
别名 :BladeHawk 


利刃 应 主要 针对 伊斯兰 
国 、 基 地 组 织 、 库 尔 德 族 
群 和 土库曼 族群 进行 持 
续 攻击 控制 的 活动 , 投递 
的 均 为 与 目标 相关 性 极 
强 的 APK 恶意 软件 ， 其 
中 大 部 分 为 Spynote 及 
其 变种 。 


Ferocious Kitten 


是 奇 安信 威胁 情 
\\ 首 个 披露 的 主要 
ph 东 地 区 的 APT 组 
im ES d nn 
= 2015 年 。 主 要 以 
= Word 文档 、 伪 
见 频 文件 的 可 执行 
载荷 开展 攻击 活 
巴 斯 基 根 据 奇 安 
公开 报告 进行 了 拓 
析 并 将 其 命名 为 


ious Kitten, 


Snow leopard 


狗 主 要 针对 巴 基 斯 
展开 了 有 组 织 、 
针对 性 的 长 期 监控 
该 组 织 一 般 利用 钓 
让 进行 载荷 投递 。 其 
i 平台 主要 为 
oid， 攻 击 目标 主要 
为 巴基斯坦 用 户 及 
折 坦 TLP 政党 。 


奇 安信 威胁 情报 中 心 
竺 续 跟 踪 49 个 主要 APT 团 伙 


摩 耶 象 
别名 : APT-Q-41 


摩 耶 象 是 奇 安信 威胁 情 
报 中 心 在 2020 年 发 现 的 
一 个 位 于 南亚 地 区 长 期 
针对 巴基斯坦 、 尼 泊 尔 、 
孟加拉 等 国 进行 间谍 活 
动 的 APT 组 织 。 其 攻击 
CC 均 为 动态 域名 ， 木 马 
均 基 于 开源 家 族 修改 , 主 


要 攻击 手段 为 鱼 又 邮件 。 


APT-Q-12 
别名 : 伪 猎 者 


APT-Q-12 是 奇 安信 威胁 
情报 中 心 内 部 长 期 跟踪 
的 东亚 APT 组 织 ， 其 专 
门 针 对 贸易 行业 进行 情 
报 窃取 活动 , 主要 利用 带 
有 恶意 Ink 文件 的 钓鱼 
邮件 进行 攻击 。 该 组 织 在 
2021 年 10 月 被 国内 安 
全 厂商 披露 并 命名 为 “ 伪 
猎 者 ”。 


金刚 象 
别名 :VajraEleph 


金刚 象 是 奇 安信 病毒 响 | 
应 中 心 披露 的 南亚 APT | 


动 , 同时 影响 少数 尼泊尔 


| 人员。 该 组 织 通过 公开 社 


交 平 台 寻 找 攻 击 目标 , 并 


| 结合 色情 话 术 等 进行 钓 


鱼 攻击 ， 主 要 使 用 武器 
VajraSpy RAT 对 


Android 平台 攻击 。 


2022 ° 


| 组织, 其 主要 针对 巴 基 斯 | 
| 坦 军 方 进行 间谍 情报 活 
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附录 2 奇 安信 威胁 情报 中 心 


威胁 情报 中 心 是 奇 安信 和 集团 旗下 专注 于 威胁 情报 收集 、 分 析 、 生 产 的 专业 部 门 ， 以 业界 领先 的 安全 大 数 
据 资 源 为 基础 ， 基 于 奇 安信 长 期 积累 的 威胁 检测 和 大 数据 技术 ， 依 托 亚太 地 区 顶级 的 安全 分 析 师 团队 ， 
通过 创新 性 的 运营 分 析 流 程 ， 开 发 威胁 情报 相关 的 产品 和 服务 ， 输 出 威胁 安全 管理 与 防护 所 需 的 情报 数 
据 ， 协 助 客户 发 现 、 分 析 、 处 置 高 级 威胁 活动 事件 。 


奇 安信 ALPHA 威胁 分 析 平 台 (https://ti.qianxin.com) ， 是 奇 安信 集团 面向 安全 分 析 师 和 应 急 响 应 团 
队 提 供 的 一 站 式 云 端 服务 平台 ， 该 平台 拥有 海量 互联 网 基础 数据 和 威胁 研判 分 析 结 果 ， 为 安全 分 析 人 员 
及 各 类 企业 用 户 提供 基础 数据 的 查询 、 攻 击 线索 拓展 、 事 件 背 景 研 判 、 攻 击 组 织 解析 、 研 究 报 告 下 载 等 
多 种 维度 的 威胁 情报 数据 与 威胁 情报 服务 ， 提 供 全 方位 的 威胁 情报 能 力 。 


Y 奇 安 信 威 胁 情报 中 心 对 外 服务 平台 


t 阿 瑞 斯 Apnc 威胁 分 析 武 器 库 


(E) LA) 


=m d es 


mmudew IOCA EAE RA Beta 


RIHAR. DMZIEESSEHNUP. ME. URL. RESI FHRIOMZIESS APRS OE puka Wr, ROP, éa. URLACTE 
CRISS 人 CE 性 检测 


(e) (@) Eà) 


T 


样本 自动 化 分 析 


APT 样 本 自动 化 检测 器 
HHP RRETHI ARUMA. HAREMOS ÜREHEAILEA. IDARE Xpindows,. Linux 


m. SOME GISEMOSOR 


(ry ©) 


攻 芒 演习 IP 导 小 箱 PCAP 自 动 化 分 析 


SEDES TIPTE 支持 VWireshark 等 狐 亿 义 什 征 动 化 分 析 ， 支 持 木 S20 全 办 议 


"3 zHROCHESIED 
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邮件 批量 各 动 化 检测 
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微 信 公众 号 
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附录 3 红 雨 滴 团 队 (RedDrip Team) 


奇 安信 旗下 的 高 级 威胁 研究 团队 红 雨 滴 (RedDrip Team,@RedDrip7) ,成 立 于 2015 年 (前 身 为 天 眼 实 验 室 ) , 
持续 运营 奇 安信 威胁 情报 中 心 至 今 , 专注 于 APT 攻击 类 高 级 威胁 的 研究 ， 是 国内 首 个 发 布 并 命名 “ 海 莲花 ” 

(APT-C-00, OceanLotus) APT 攻击 组 织 的 安全 研究 团队 ， 也 是 当前 奇 安信 威胁 情报 中 心 的 主力 威胁 分 
析 技 术 支 持 团 队 。 


目前 ， 红 雨滴 团队 拥有 数 十 人 的 专业 分 析 师 和 相应 的 数据 运营 和 平台 开发 人 员 ， 覆 盖 威 胁 情报 运营 的 各 个 
环节 : 公开 情报 收集 、 自 有 数据 处 理 、 恶 意 代 码 分 析 、 网 络 流量 解析 、 线 索 发 现 挖掘 招展、 追踪 溯源 ， 实 
现 安全 事件 分 析 的 全 流程 运营 。 团 队 对 外 输出 机 读 威胁 情报 数据 支持 奇 安信 自 有 和 第 三 方 的 检测 类 安全 产 
品 ， 实 现 高 效 的 威胁 发 现 、 损 失 评估 及 处 置 建议 提供 ， 同 时 也 为 公众 和 监管 方 输出 事件 和 组 织 层面 的 全 面 
高 级 威胁 分 析 报 告 。 


依托 全 球 领 先 的 安全 大 数据 能 力 、 多 维度 多 来 源 的 安全 数据 和 专业 分 析 师 的 丰富 经 验 ， 红 雨滴 团队 自 
2015 年 持续 发 现 多 个 包括 海 莲 花 在 内 的 APT 组 织 在 中 国境 内 的 长 期 活动 ， 并 发 布 国内 首 个 组 织 层面 的 
APT 事件 揭露 报告 , 开创 了 国内 APT 攻击 类 高 级 威胁 体系 化 揭露 的 先河 ,已 经 成 为 国家 级 网 络 攻防 的 焦点 。 


(te: 


奇 安信 红 雨 滴 团 队 关注 微 信 公众 


ui] 


“ 红 雨 滴 ” 背 后 的 故事 一 “从 100 亿 个 雨滴 中 找 一 个 红 雨 滴 ” 


2006 年 11 月 20 日 , 因 发 现 J 粒 子 而 获得 诺 贝 尔 奖 的 著名 华裔 物理 学 家 本 肇 中 教授 来 到 中 国 驻 瑞士 大 使 馆 ， 
做 了 一 场 精彩 的 讲座 。 丁 後 中 教授 形容 自己 发 现 构成 物质 的 第 四 种 基本 粒子 一 一 J 粒子 的 高 精度 实验 时 说 
到 : “相当 于 在 北京 下 雨 时 ， 每 秒 钟 有 100 亿 个 雨滴 ， 如 果 有 一 个 雨滴 是 红色 的 ， 我 们 就 要 从 这 100 亿 个 
里 找 出 它 来 。” 

而 奇 安信 威胁 情报 中 心 高 级 威胁 分 析 团 队 同 样 需要 在 海量 数据 中 精准 找寻 那些 红色 威胁 。 最 终 ， 我 们 选择 
了 “ 红 雨 滴 ” 作 为 团队 的 名 称 。 
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5T.https://ti.qianxin.com/blog/articles/Heavy-Shadows:Summary-of-Recent-Attack-Techniques-Used- 
by-Donot-Group-CN/ 
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TO.https://www.group-ib.com/blog/hunting-sidewinder/ 


Tl.https://mp.weixin.qq.com/s/g80SytVgRSV2T T3kwZYUHA 


o o 


邮箱 : ti support&qianxin.com ”电话 : 95015 ”官网 : https://ti.gianxin.com 59 


附录 / i))KojoFost" 15& CÉ °) ,D< 


72.https://mp.weixin.qq.com/s/DhQj9-0QLwVSQYH_uGDw2g 
T3.https://mp.weixin.qq.com/s/WUOVnMCf-FQyXIBkZfZAEw 
T4.https://mp.weixin.qq.com/s/H-ZRvcofbzwZ8lkyn5Vu4w 
T5.https:;//www.mandiant.com/resources/blog/turla-galaxy-opportunity 
T6.https://blogs.blackberry.com/en/2023/01/gamaredon-abuses-telegram-to-target-ukrainian- 
organizations 

TT.https://cert.gov.ua/article/3718487 
T8.https://securityaffairs.com/141413/apt/sandworm-targets-ukraine-swiftslicer.html 
T9.https://therecord.media/latvia-confirms-phishing-attack-on-ministry-of-defense-linking-it-to- 
russian-hacking-group/ 

80.https://cert.gov.ua/article/3761023 
81.https://symantec-enterprise-blogs.security.com/blogs/threat-intelligence/nodaria-ukraine- 
infostealer 
82.https://mrtiepolo.medium.com/russian-apt-gamaredon-exploits-hoaxshell-to-target-ukrainian- 
organizations-173427d4339b 
83.https://mrtiepolo.medium.com/sophisticated-apt29-campaign-abuses-notion-api-to-target-the- 
european-commission-200188059f58 
84.https://threatmon.io/beyond-bullets-and-bombs-an-examination-of-armageddon-groups-cyber- 
warfare-against-ukraine/ 
85.https:;//blogs.blackberry.com/en/2023/03/nobelium-targets-eu-governments-assisting-ukraine 
86.https://informnapalm.org/en/hacked-russian-gru-officer/ 
8T.https://www.gov.pl/web/baza-wiedzy/espionage-campaign-linked-to-russian-intelligence-services 
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